Jean-Sébastien DUCHENE Blog's

Actualité, Tips, Articles sur l'ensemble des Technologies Microsoft (SCCM/SMS, EMS, Microsoft Intune, Microsoft Azure, Windows 10, SCOM, MDOP...)
    • 19/3/2019

    [SCOM 2016+] Mise à jour (7.1.10242.0) du Management Pack pour Message Queuing de Windows Server 2016+

    Microsoft vient de publier une mise à jour (version 7.1.10242.0) du Management Pack (MP) pour Windows Server 2016+ Message Queuing. Pour rappel, System Center Operations Manager (SCOM) fait partie de la gamme System Center, il propose une supervision souple et évolutive de l’exploitation au niveau de toute l’entreprise, réduisant la complexité liée à l’administration d’un environnement informatique, et diminuant ainsi le coût d’exploitation. Ce logiciel permet une gestion complète des événements, des contrôles proactifs et des alertes, et assure une gestion des services de bout en bout. Il établit des analyses de tendance et des rapports, et contient une base de connaissances sur les applications et le système.

    Lisez le guide pour implémenter et obtenir plus d’information sur ce qui est supervisé par défaut ou ce qui doit être activé via des overrides.

    Télécharger System Center 2016 Management Pack for Message Queuing

    • 18/3/2019

    [AIP] Un guide d’accélération du déploiement d’Azure Information Protection

    Microsoft a publié un guide permettant le déploiement accéléré et plus aisé d’Azure Information Protection. Le guide revient surtout sur l’élément le plus difficile d’un projet : les prérequis métiers qui doivent être en place pour la réalisation du projet. Il s'agit donc d'un guide pour aider les décideurs et les ITs à comprendre les meilleures façons de déployer Azure Information Protection et d'éviter les erreurs qui pourraient causer des retards dans le déploiement.

    Le guide aborde :

    • Les concepts et éléments
    • La roadmap
    • Les prérequis généraux
    • La phase de découverte
    • La phase de Classification
    • La phase de protection
    • La phase de supervision
    • Les bonnes pratiques

    Télécharger Azure Information Protection Deployment Acceleration Guide

    • 17/3/2019

    Nouvelle version Bêta (février 2019) du client Remote Desktop pour iOS

    Microsoft vient de publier une nouvelle bêta du client Remote Desktop pour iOS. Cette nouvelle version apporte les nouveautés suivantes :

    • Expérience améliorée sur les derniers périphériques iOS.
    • Support des souris physiques Swiftpoint GT et ProPoint.
    • Support de Windows Virtual Desktop.
    • Redirection du stockage et du microphone de l'iPhone.
    • Support de AVC420 et AVC444.
    • Support d'accélération matériel métal.

    Tester le client Remote Desktop pour iOS

    • 16/3/2019

    [Remote Desktop] Nouvelle version 1.0.11 du client Web Remote Desktop

    Microsoft vient de mettre à disposition une nouvelle version (1.0.11) du client Web pour Remote Desktop pour Windows Server 2016 et Windows Server 2019. Vous pouvez ajouter le client web à une infrastructure existante via les commandes PowerShell.

    Cette version apporte les éléments suivants :

    • Permet la connexion à RD Broker sans RD Gateway dans Windows Server 2019.
    • Les abonnements/feeds sont triés par ordre alphabétique (RemoteApps en premier, bureau en second).
    • Correction de plusieurs bugs d'accessibilité qui amélioraient la compatibilité du lecteur d'écran.
    • Mise à jour des outils de build.
    • Diverses corrections de bugs.

     

    Cette version web est simplifiée avec les fonctionnalités essentielles telles que :

    • L’accès au bureau ou aux applications publiées via un abonnement (feed)
    • Le Single Sign-on
    • L’impression vers un fichier PDF
    • L’audio en sortie
    • Les résolutions dynamiques et le plein écran
    • Le copier/coller de texte en utilisant les raccourcis (Ctrl + C et Ctrl + V)
    • Le support des entrées par le clavier et la souris
    • La localisation en 18 langues (dont le français)

    Le client web est supporté par les principaux navigateurs :

    • Microsoft Edge
    • Internet Explorer 11
    • Google Chrome
    • Mozilla Firefox
    • Apple Safari

    Ceci permet de couvrir les principales plateformes : Windows, macOS, Chromebook et Linux.

    • 14/3/2019

    [SCCM 1802] Utiliser les boundary groups pour configurer les groupes Delivery Optimization

    Depuis System Center Configuration Manager 1802, il est possible d’utiliser ConfigMgr pour configurer les identifiants de groupe (Group ID) utilisés par Delivery Optimization dans Windows 10.  Pour rappel, Delivery Optimization est la solution de P2P interne à Windows 10 permettant d’optimiser la récupération de contenu provenant du Cloud. Pour l’heure Delivery Optimization supporte les mises à jour issues de Windows Update, les applications et mises à jour issues du Windows Store et plus récemment le contenu des applications Win32 déployées via l’Intune Management Extension (Sidecar).

    Delivery Optimization a plusieurs comportements et modes de téléchargement. Ces derniers déterminent la source du téléchargement que les clients sont autorisés à utiliser lors du téléchargement des mises à jour Windows en plus des sources Cloud :

    • HTTP Only (0) : Ce paramétrage désactive la mise en cache P2P
    • LAN (1) : Ce mode de fonctionnement par défaut permet le partage entre clients sur le même réseau. Le service Delivery Optimization trouve d'autres clients qui se connectent à Internet en utilisant la même adresse IP publique que le client cible. Ces clients tentent ensuite de se connecter à d'autres clients sur le même réseau en utilisant leur adresse IP privée de sous-réseau. Ce mode pose une problématique quand il n’y a qu’une seule adresse de sortie Internet pour des clients géographiquement séparés (par exemple lors de l’utilisation de MPLS)
    • Group (2): Permet de sélectionner automatiquement le groupe de machine en fonction du site Active Directory (1607+) ou du domaine (1511+). En mode groupe, le peering s'effectue sur des sous-réseaux internes, entre des périphériques appartenant au même groupe. Vous pouvez utiliser l'option GroupID pour créer votre propre groupe personnalisé indépendamment des domaines et des sites AD DS.
    • Internet (3) : Active la récupération de sources à partir de clients localisés sur Internet.
    • Simple (99) : Ce mode désactive complètement l'utilisation Delivery Optimization (pour les environnements hors ligne). Delivery Optimization passe automatiquement à ce mode lorsque les services cloud sont indisponibles, inaccessibles ou lorsque la taille du fichier de contenu est inférieure à 10 Mo.
    • Bypass (100) : Ce mode outre passe Delivery Optimization et utilise BITS en lieu et place. C’est ce mode qui doit être utilisé si vous voulez bénéficier de BranchCache.

     

    C’est l’option Group qui va nous intéresser le plus et être la principale solution dans le monde de l’entreprise. Pour faciliter la configuration des groupes, il est possible d’utiliser la correspondance des groupes de limites de System Center Configuration Manager afin de configurer les clients.

    Cette capacité se configure dans les paramétrages du client en naviguant dans la console d’administration dans Administration – Client Settings. En sélectionnant ou créant une stratégie cliente, vous pouvez accéder au groupe Delivery Optimization.

    Le passage de l’option Use Configuration Manager Boundary Groups for Delivery Optimization Group ID à Yes permet ce scénario. Il peut être très pratique notamment lors de l’utilisation du Co-Management et lorsque vous gérez certains aspects (déploiement de mises à jour ou d’applications) avec Microsoft Intune.

    Attention : la configuration des identifiants de groupes (Group ID) est conditionnée par l’activation de l’option Allow peer downloads in this boundary group sur les groupes de limites en question :

    L’option est activée par défaut lors de la création du groupe de limites mais sa désactivation impacte la configuration des GroupID de Delivery Optimization tout comme l’utilisation de BranchCache ou Peer Cache.

    • 13/3/2019

    [Intune] Configurer le fond d’écran (Accueil et Verrouillage) des périphériques iOS

    En janvier 2019, Microsoft a ajouté une demande récurrente des entreprises voulant configurer l’écran de verrouillage ou l’écran d’accueil des périphériques iOS via Microsoft Intune. Il vous est donc possible de configurer un fond d’écran pour des périphériques iOS dans mode supervisé.

    Pour rappel, une périphérique iOS peut être supervisé :

    • Lorsqu’il est enregistré via le programme Apple Device Enrollment Program (DEP) avant sa mise en service
    • Après la mise en service du périphérique en utilisant l’outil Apple Configurator via un périphérique mac. Cette opération réinitialise le périphérique.

    Plus d’informations sur : Turn on iOS Supervised Mode

    Une fois ce prérequis validé, vous pouvez configurer la stratégie en ouvrant le portail Intune (Azure) ou la console de gestion des périphériques (DMAC). Naviguez ensuite dans Device configuration – Profiles.

    Sélectionnez Create Profile.

    Sur la page suivante, renseignez :

    • Un nom de profil
    • La plateforme : iOS
    • Le type de profil : Device Features

    Naviguez dans les paramétrages et ciblez le groupe wallpaper (supervised only).
    Vous pouvez choisir à quoi le fond d’écran s’applique :

    • L’écran de verrouillage uniquement
    • L’écran d’accueil uniquement
    • A la fois l’écran de verrouillage et l’écran d’accueil

    Chargez ensuite le fichier au format PNG, JPG ou JPEG. Ce dernier ne doit pas faire plus de 750 KB.

    Cliquez sur OK à deux reprises et procédez à la création du profil.

    Assignez ensuite le profil à un groupe pour déployer la stratégie :

     

    Sur le périphérique supervisé, vous pouvez ensuite valider l’application selon la configuration :

    • 12/3/2019

    [Intune] Preview de la fonctionnalité permettant d’envoyer les logs dans Event Hubs, Log Analytics ou un compte de stockage Azure

    Microsoft a publié une fonctionnalité intéressante (en Preview) permettant d’envoyer les fichiers de journalisation de Microsoft Intune dans un compte de stockage Azure, Azure Event Hubs ou Azure Log Analytics. Il est possible d’envoyer :

    • Les journaux d’audit sur les actions réalisées dans Microsoft Intune
    • Les journaux opérationnels qui affichent des détails sur les périphériques et les utilisateurs qui ont réussi ou échoué à s’enregistrer.

    Chacune des trois solutions offrent des possibilités dédiées :

    • Archivez les logs Intune sur un compte de stockage Azure pour conserver les données.
    • Diffusez les logs Intune vers Azure Event Hubs pour l'analyse à l'aide d'outils SIEM (Security Information and Event Management), comme Splunk et QRadar.
    • Envoyez les journaux Intune à Log Analytics pour permettre des visualisations, une surveillance et des alertes riches sur les données connectées.

    Pour utiliser cette fonctionnalité, vous devez avoir les éléments suivants :

    • Un abonnement Azure qui sera utilisé pour le compte de stockage, Azure Event Logs ou Log Analytics
    • Un tenant Microsoft Intune
    • Un utilisateur qui est Global Administrator ou Intune Service Administrator pour configurer le tenant.

    Pour configurer la fonctionnalité, naviguez dans le portail Azure et dans Intune puis sélectionnez Diagnostics Settings. Choisissez Turn on Diagnostics.

    Vous devez ensuite sélectionner un nom de paramétrage d’audit et l’option adéquate parmi :

    • Archive to storage account
    • Stream to an Event Hub
    • Send to Log Analytics.

    Choisissez ensuite le type de logs à envoyer et la durée de rétention associée parmi :

    • AuditLogs
    • OperationalLogs

     

    Sauvegardez pour que les paramétrages de diagnostic prennent effet.

    • 11/3/2019

    [SCCM 1810] Avertissements Unable to send update on component générés dans le fichier smsdbmon.log

    Voici un problème que vous pouvez potentiellement rencontrer après la mise à niveau vers System Center Configuration Manager 1810. Vous pouvez observer des avertissements comme suit dans le fichier smsdbmon.log :

    WARNING: Unable to send update on component PolicyTargetEvalNotify_iud 7884 (0x1ecc)

    Dans ConfigMgr 1810+, le ciblage de stratégie a été retravailler pour être traiter sans déclanchement de la part de dbmon. Ces dernières sont traitées en fonction d’un watermark dans SQL afin de fonctionner avec les scénarios Always ON.

    Pour contourner ce problème, vous pouvez supprimer les notifications de la base de données. Pour ce faire, vous devez d’abord correctement sauvegarder la base de données de site Configuration Manager et vous assurez d’avoir un bon plan de restauration.

    Ensuite, vous pouvez exécuter les requêtes SQL suivantes avec SQL Server Management Studio :

    select * from tablechangenotifications where component = 'PolicyTargetEvalNotify_iud' and TableName = 'Collections_L'

    select * from tablechangenotifications where component = 'PolicyTargetEvalNotify_ColMember_iu' and TableName = 'Collection_MemberChg_Notif'

    select * from tablechangenotifications where component = 'PolicyAssignmentChg_Notify_iu' and TableName = 'PolicyAssignmentChg_Notify'

     

    Si l’une de ces commandes renvoie des enregistrements, vous pouvez initier la suppression via les commandes :

    delete from tablechangenotifications where component = 'PolicyTargetEvalNotify_iud' and TableName = 'Collections_L'

    delete from tablechangenotifications where component = 'PolicyTargetEvalNotify_ColMember_iu' and TableName = 'Collection_MemberChg_Notif'

    delete from tablechangenotifications where component = 'PolicyAssignmentChg_Notify_iu' and TableName = 'PolicyAssignmentChg_Notify'

    Normalement le Database Monitor devrait également annuler automatiquement ces notifications invalides après une longue période de temps, mais ceci ne doit normalement jamais dépasser 12 heures.

    • 9/3/2019

    [Intune] Nouveau lien listant les applications Microsoft et partenaires supportant la gestion des applications mobiles (MAM)

    Microsoft a publié un nouveau lien listant les applications Microsoft et partenaires/tierces qui se sont intégrées avec le SDK de Microsoft Intune pour permettre la gestion des applications mobiles (MAM). Ces applications permettent de déployer des stratégies directement sur les applications sans avoir à enregistrer les périphériques dans Microsoft Intune.

    Voici le lien : https://aka.ms/mamenabledapps

    • 9/3/2019

    Public Preview 7 de la version 18.0 de SQL Server Management Studio

    SQL Server Management Studio a été décorrélé de l’installation de SQL Server depuis la version 2016, il est maintenant possible de télécharger l’outil séparément. La version 18.0 est disponible en préversion 7 et permet de se connecter de SQL Server 2008 à SQL Server 2017.

    Cette Preview 7 apporte les éléments suivants :

    • Lorsque vous vous connectez à Azure SQL Database Managed Instance (DB/MI), vous pouvez vous y connecter avec "<Default>" comme db initial.
    • Migration des paramètres SSMS (de 17.x et plus anciens à 18.0 Preview) - Lorsque vous installez SSMS 18 Public Preview 7, il détecte toutes les versions existantes de 17.x ou plus anciennes et invite l'utilisateur à migrer les paramètres SSMS vers SSMS 18.
    • Ajout du support de Showplan à LocalCube RelOp pour DW ROLLUP et CUBE
    • Ajout du support pour Edge Constraint dans les basez de données Graph
    • Ajout du support de l'importation et de l'exportation d'applications tierces de données avec tableaux graph
    • Ajout de Cloud Witness comme nouveau type de quorum et comme nouveau type de ressource dans SQL Server Management Objects (SMO) et SSMS.
    • Ajout des logins AAD comme nouveau type de login dans SMO et SSMS lors de la connexion à une instance gérée de base de données SQL d'Azure.
    • Ajout d'un nouvel élément d'entrée Try SSIS in Azure Data Factory sous le noeud Integration Services Catalogs, qui peut être utilisé pour lancer l'Assistant de création d'exécution d'intégration et créer rapidement Azure-SSIS Integration Runtime.
    • Ajout d'un bouton Create SSIS IR dans l'assistant de création de catalogue qui peut être utilisé pour lancer l'assistant de création d'intégration et créer rapidement Azure-SSIS Integration Runtime.
    • ISDeploymentWizard prend désormais en charge l'authentification SQL, l'authentification intégrée Azure Active Directory et l'authentification par mot de passe Azure Active Directory en mode ligne de commande.
    • Les utilisateurs peuvent maintenant faire un clic droit sur un nœud de base de données dans l'Explorateur d'objets et exécuter une requête ou créer un nouvel ordinateur portable dans Azure Data Studio.
    • Ajout d'une nouvelle fonction de classification des données dans SMO. L'objet colonne expose les nouvelles propriétés suivantes : SensitivityLabelName, SensitivityLabelId, SensitivityInformationTypeName, SensitivityInformationTypeId et IsClassified (lecture seule). Ajout d'un nouvel élément de menu Rapport de classification dans le Flyout DC
    • Correction d'un problème où "[n/a]" manquait dans les options SensitivityInformationType et SensitivityLabelName.
    • Un travail a été réalisé pour s'assurer que le résultat de l'analyse VA sur Managed Instance sera cohérent avec ceux qui sont exécutés dans Azure.
    • L'évaluation de la vulnérabilité supporte désormais Azure SQL Data Warehouse

    En outre, la nouvelle version 18.0 apporte :

    • Support de SQL Server 2019
    • Support des instances gérées Azure SQL (Azure SQL Managed Isntance)
    • Support des bases de données Azure SQL Database.
      • SLO/Edition
      • Support pour les nouveaux SKUs Azure SQL
    • Support d’Always Encrypted avec les enclaves sécurisées
    • Support d’UTF8 sur les fenêtres de classement/collation
    • Amélioration du Shell :
      • SSMS est basé sur le nouveau Isolated Shell de VS 2017. Cela signifie un shell moderne qui déverrouille toutes les fonctions d'accessibilité de SSMS et de VS 2017.
      • Taille de téléchargement plus petite (~400 Mo). C'est moins de la moitié de la taille de SSMS 17.x.
      • SSMS peut être installé dans un dossier personnalisé. Actuellement, ceci n'est disponible que sur la configuration en ligne de commande. Passez l'argument supplémentaire à SSMS-Setup-ENU.exe, SSMSInstallRoot = C:\MyFolder
      • Prise en charge des résolutions élevées par défaut.
      • Meilleure prise en charge des configurations avec plusieurs écrans pour s'assurer que les boîtes de dialogue et les fenêtres apparaissent sur le moniteur attendu.
      • Isolement du moteur SQL. SSMS ne partage plus de composants avec le moteur SQL. L’isolation par rapport au moteur SQL permet des mises à jour plus fréquentes.
      • Les Identifiatns de Package ne sont plus nécessaires pour développer des extensions SSMS.
    • Amélioration des fonctionnalités existantes :
      • Changement du mode d'authentification des Storage Account Key à Azure AD.
      • L’option de configuration AUTOGROW_ALL_FILES pour les groupes de fichiers est disponible.
      • Suppression des options "lightweight pooling" et "priority boost" de l'interface graphique car elles sont dépréciées depuis longtemps.
      • Utilisation de "Windows Credential Manager" pour le stockage des mots de passe MRU de la boîte de dialogue de connexion.
      • Exposition de la propriété "backup checksum default" dans la page Default Settings sous Server Properties.
      • Ajout du temps réel écoulé, des lignes réelles et des lignes estimées sous Afficher le nœud Show Plan, si elles sont disponibles. Cela permettra au plan réel d'être cohérent avec le plan Live Query Stats.
      • Modification de l'info-bulle et ajout d'un commentaire pour Show Plan. Le bouton Modifier la requête pour indiquer que le texte de la requête peut être tronqué s'il comporte plus de 4000 caractères.
      • Ajout de la logique pour l'affichage de "Materializer Operator (External Select)".
      • Ajout d'un nouvel attribut "BatchModeOnRowStoreUSed" pour identifier facilement les requêtes qui utilisent la fonction "batch-mode scan on rowstores".
      • Rehash de RTO (Estimated Recovery Time) et RPO (Estimated data loss) dans le tableau de bord SSMS AlwaysOn.
      • SMO
        • Amélioration des performances des scripts
        • Extension de la prise en charge par l'OMU de la création d'index réutilisables
        • Ajout d'un nouvel événement sur les objets SMO ("Property Missing") pour aider les auteurs d'applications à détecter plus rapidement les problèmes de performance SMO
        • Exposition de nouvelle propriété DefaultBackupCheckCheckSum sur l'objet Configuration qui correspond à "backup checksum default" dans la configuration de serveur
      • Plusieurs corrections de bugs dans les domaines suivants en plus des plantages :
        • XEvents
        • Options SSMS
        • Editeur SSMS
        • Explorateur d'objets
        • Sauvegarde/Restauration/Attacher/Détacher la base de données
        • Support général d’Azure SQL DB

     

    Microsoft a aussi déprécié les fonctionnalités suivantes :

    • Diagramme de base de données
    • TSQL Debugger
    • exe
    • Interface d'administration Dreplay
    • Outils Configuration Manager, SQL Server Configuration and Reporting Server Configuration Manager

    Plus d’informations sur la Release Notes

    Télécharger SQL Server Management Studio (SSMS) 18.0 Preview

    • 8/3/2019

    [AIP] Public Preview v2.0.747.0 du client Unified Labeling d’Azure Information Protection

    Microsoft a publié la Public Preview (v2.0.747.0) du nouveau client Unified Labeling d’Azure Information Protection.  Cette première version couvre les fonctionnalités standards et la classification automatique. Les fonctionnalités avancées sont attendues prochainement. Pour rappel, Azure Information Protection permet de classifier et labéliser la donnée au moment de la création en fonction de différentes catégories. L’administrateur peut ensuite appliquer des stratégies de protection embarquée dans la donnée en fonction de la classification appliquée. Ce service est issu du rachat de Secure Islands et vient englober Azure Rights Management (RMS).

    Vous trouverez la comparaison des fonctionnalités entre le client et le client Unified Labeling.

    Plus d’informations sur la version du client AIP Unified Labeling

    Télécharger Azure Information Protection unified labeling client (PREVIEW)

    • 7/3/2019

    [SCCM TP] Créer de manière automatisée un lab Configuration Manager Technical Preview avec un modèle Azure

    Microsoft a publié un modèle Azure permettant de provisionner un environnement complet avec la Technical Preview de System Center Configuration Manager. Ceci vous permet d’éviter de créer toutes les machines virtuelles, les réseaux, de configurer les OS et d’installer le produit. C’est donc idéal si vous souhaitez créer un lab et vous maintenir pour de la veille technologique.

    Il vous faudra un abonnement Azure avec assez de crédits (pour connaître le coût) pour faire tourner les éléments suivants :

    • 4 machines virtuelles Standard_D2S_v3
    • Un compte de stockage Standard_LRS

    Pour ce faire, vous devez utiliser le template suivant : Configuration Manager Tech Preview Lab in Azure.

    En premier lieu, choisissez l’abonnement à utiliser puis le groupe de ressources. Je vous recommande d’en créer un dédié. Sélectionnez l’emplacement des machines virtuelles.
    Renseignez un préfix qui sera utilisé pour nommer les machines ; par exemple : CMTP-
    Entrez le nom d’utilisateur pour l’administrateur et le mot de passe associé répondant aux critères suivants :

    • Nombre de caractères minimum : 8.
    • Taille maximale : 123 caractères
    • Trois des quatre complexités suivantes :
      • Une minuscule
      • Une majuscule
      • Un chiffre
      • Un caractère spécial

    Note : Les mots de passe communs sont interdits (par exemple : P@ssw0rd, etc.)

     

    Cochez la case d’accord et cliquez sur Purchase

     

    Le déploiement démarre et provisionne le ressource groupe avec les machines virtuelles suivantes :

    • <Prefix>DC correspondant au contrôleur de domaine
    • <Prefix>PS1 correspondant au site primaire
    • <Prefix>Other
    • <Prefix>DPMP hébergeant les rôles de systèmes de site Distribution Point et Management Point

    Ce dernier peut durer entre 2 et 4 heures des étapes dans Azure aux étapes d’installation inclues à l’intérieur des machines virtuelles.

    Vous pouvez suivre le déploiement en cliquant sur le statut.

    Une fois les machines virtuelles provisionées, vous pouvez vous connecter en naviguant dans Virtual Machines en sélectionnant la machine virtuelle puis en cliquant sur Connect. Téléchargez et exécutez le fichier rdp.

    Vous pouvez ensuite initier la connexion à l’aide du compte utilisateur créé et du nom de domaine contoso.com. La machine virtuelle <Prefix>PS1 regroupe un fichier de résultat dans %windir%\TEMP\ProvisionScript\PS1.json Si toutes les entrées montrent les étapes comme complétées, alors le déploiement est réussi.

    Note : C’est d’ailleurs dans ce dossier que l’on retrouve tous les scripts de déploiement.

     

    Plus d’informations sur : https://docs.microsoft.com/en-us/sccm/core/get-started/azure-template

    • 6/3/2019

    Le premier Correctif Cumulatif pour Exchange Server 2019 est disponible

    L’équipe Exchange vient de publier le premier Cumulative Update (CU1) pour Exchange Server 2019. Microsoft a changé la stratégie d’assistance sur le cycle de vie d’Exchange ne nécessitant plus l’application des derniers Cumulative Update pour être supporté.

    Il apporte les changements suivants :

    • 4487596Emails are blocked in moderator mailbox Outbox folder when you send large volumes of emails in Exchange Server 2019
    • 4487591The recipient scope setting doesn't work for sibling domains when including OUs in the scope in Exchange Server 2019
    • 4487602Outlook for Mac users can still expand a distribution group when hideDLMembership is set to true in Exchange Server 2019
    • 4488076Outlook on the Web can't be loaded when users use an invalid Windows language in operating system in Exchange Server 2019
    • 4488079Exchange Server 2016 allows adding Exchange Server 2019 mailbox server into a same DAG and vice versa
    • 4488263X-MS-Exchange-Organization-BCC header isn't encoded correctly in Exchange Server 2019
    • 4488080New-MigrationBatch doesn't honor RBAC management scope in Exchange Server 2019
    • 4488262Delivery Reports exception when tracking a meeting request that's sent with a room resource in Exchange Server 2019
    • 4488268Disable the irrelevant Query logs that're created in Exchange Server 2019
    • 4488267Test-OAuthConnectivity always fails when Exchange Server uses proxy to connect to Internet in Exchange Server 2019
    • 4488266Client application doesn't honor EwsAllowList in Exchange Server 2019
    • 4488265"There are problems with the signature" error occurs for digital signature message if attachment filtering is enabled in Exchange Server 2019
    • 4488398"The Microsoft Exchange Replication service may not be running on server" error when you add a mailbox database copy in Exchange Server 2019
    • 4488264Mailbox that has a bad move request can't be cleaned up from destination mailbox database in Exchange Server 2019
    • 4488261Event ID 1002 when the store worker process crashes in Exchange Server 2019
    • 4488260New-MailboxExportRequest and New-MailboxImportRequest don't honor RBAC management scope in Exchange Server 2019
    • 4488259MailTip shows wrong number of users for a distribution group if the users are in different domains in Exchange Server 2019
    • 4488258OAuth authentication is removed when saving MAPI virtual directory settings in EAC in Exchange Server 2019
    • 4490060Exchange Web Services Push Notifications can be used to gain unauthorized access
    • 4490059Reducing permissions required to run Exchange Server using Shared Permissions Model

     

    Notez qu’après avoir installé le Cumulative Update 1 pour Exchange Server 2019, le bouton Accepter disparaît dans le message d'invitation d'un calendrier partagé dans Microsoft Outlook sur le client Web. Par conséquent, vous ne pouvez pas ajouter le calendrier partagé en cliquant directement sur le bouton Accepter. Référez-vous à la KB4471391 pour plus d’informations.

    Pour télécharger le Correctif Cumulatif, vous devez passer par le portail Microsoft Volume Licensing Center.

    Notez que le package peut aussi être utilisé pour mettre à jour une infrastructure existante ou installer une nouvelle infrastructure.

    • 5/3/2019

    [Intune] Gestion et déploiement des applications gérées (Android Enterprise) issues du Store Google Play

    Depuis la prise en charge d’Android for Work ou nouvellement Android Enterprise par Microsoft Intune, Microsoft a fait évoluer la solution pour répondre de mieux en mieux à vos besoins.

    Après avoir configuré le connecteur dans le portail Intune (Azure) dans la partie Client apps – Managed Google Play, vous retrouvez une intégration beaucoup plus intéressante qu’auparavant.

    Parmi les limitations qui ont été levées, on retrouve :

    • La capacité d’ajouter et approuver des applications issues du Google Play for Work/Enterprise directement depuis le portail Intune. Auparavant, il fallait se connecter sur le Google Play for Work pour les approuver et les synchroniser.
    • La capacité de supprimer une application gérée Google Play directement depuis l’interface du portail Microsoft Intune afin d’initier l’action dans le tenant Google Play for Work de l’entreprise

    Pour ajouter une nouvelle application, vous devez naviguer dans Client Apps – Apps puis sélectionner Add. Vous devez ensuite sélectionner le type d’application Managed Google Play. Cliquez sur Managed Google Play puis recherchez l’application souhaitée. Cliquez sur Approve.

    Confirmez l’approbation en fonction des autorisations de l’application :

    Enregistrez ensuite la configuration concernant les nouvelles demandes d’autorisations. Vous pouvez maintenir l’état d’approbation et donc installer l’application automatiquement ou révoquer l’état approuvé. Dans ce second cas, vous devrez réapprouver l’application.

    L’onglet Notifications permet de configurer des adresses emails afin d’être informer des éventuelles nouvelles demandes d’autorisation. Ceci peut être très pratique si vous devez réapprouver l’application manuellement.

     

    Cliquez sur OK

     

    Enfin, cliquez sur Sync pour lancer la synchronisation

     

    La synchronisation s’opère et l’application finit par apparaître dans la partie Apps.

    Vous pouvez cliquer dessus et procéder au déploiement dans la partie Assignements en sélectionnant un groupe ainsi que le type de déploiement (libre-service, requis ou désinstallation) :

     

    Pour supprimer une application existante de Microsoft Intune et du tenant Google Play for Work, vous devez naviguer dans Client Apps – Apps. Identifiez l’application puis sélectionnez les … Enfin cliquez sur Delete.

    Confirmez la suppression et la désapprobation de l’application :

    L’application disparait ensuite automatiquement du tenant :

    • 4/3/2019

    [MDT] Republication de l’ancienne version 8450 de Microsoft Deployment Toolkit

    Microsoft vient de republier l’ancienne version 8450 de Microsoft Deployment Toolkit (MDT). MDT est un accélérateur de solutions gratuit permettant d’optimiser le déploiement de systèmes d’exploitation. Ceci peut permettre à des clients de supporter des anciennes versions de système d’exploitation ou encore de mettre à niveau d’anciens Deployment Workbenchs vers des versions plus récentes de MDT.

    Cette version a été publiée en décembre 2017 et est dépréciée par Microsoft. Elle ne doit pas être utilisée pour de nouveaux déploiements/installations.

     Plus d’informations sur : https://blogs.technet.microsoft.com/msdeployment/2017/12/21/mdt-8450-now-available/

    Télécharger Microsoft Deployment Toolkit

    • 4/3/2019

    Microsoft Azure Sentinel : Microsoft annonce une SIEM en mode SaaS

    A l’occasion de la conférence RSA, Microsoft vient d’annoncer le service SaaS Microsoft Azure Sentinel. Ce dernier constitue une Security Event Information Management (SIEM) en mode SaaS hébergée sur la plateforme Azure. Pour rappel une SIEM permet de collecter et rassembler les événements et informations de sécurité afin de donner une visibilité sur les menaces et problèmes éventuels. Azure Sentinel propose des mécanismes d’Intelligence Artificielle (IA) qui permettent d’analyser et détecter les menaces rapidement. Azure Sentinel permet aussi un mécanisme d’investigation et de tracking des activités suspicieuses puis d’automatiser les tâches et les réponses aux menaces. Vous pouvez ajouter des solutions intégrées de collecte d'informations provenant dans Office 365, Azure AD, F5, Azure Information Protection, Cisco, Azure ATP, Amazon Web Services; etc.

    Plus d’informations sur : https://azure.microsoft.com/en-us/blog/introducing-microsoft-azure-sentinel-intelligent-security-analytics-for-your-entire-enterprise/

    Si vous souhaitez joindre la Preview, vous pouvez suivre l’URL suivante : https://aka.ms/microsoftazuresentinel

    • 3/3/2019

    [SCCM 1806] Mais où est le correctif pour résoudre le problème de mises à jour logicielles ?

    Je vous parlais de ce problème il y a quelques jours, en parallèle Microsoft a publié un correctif non cumulatif (KB4490575) à destination de System Center Configuration Manager 1810 pour résoudre un problème concernant l’installation des mises à jour logicielles qui ne répondent pas et ne renvoient pas d’état de finalisation que ce soit lors de l’installation avec le client SCCM ou dans une séquence de tâches. Ceci survient principalement quand on installe plusieurs mises à jour mixant à la fois Office et Windows. Le problème survient le plus souvent sur Windows 10 1709 mais peut aussi affecter d’autres versions.

    Mais quand est-il de System Center Configuration Manager 1806 ? Malheureusement Microsoft ne publiera pas de correctif.

    Si on exécute les mises à jour lors d’une étape Install Software Update, le composant InstallSWUpdate renvoie les messages suivants dans smsts.log :

    Waiting for job status notification ...

    Dans le fichier WUAHandler.log vous pouvez voir que l’installation de toutes les mises à jour s’effectue avec succès bien que la main ne soit jamais rendue.

    Lorsque ce comportement intervient dans un scénario de gestion des mises à jour logicielles (SUM) classique (sans séquence de tâches), vous pouvez voir que l’installation ne démarre jamais et que toutes les mises à jour restent bloquées dans un état ciStateDownloading. Vous pouvez notamment voir les éléments suivants dans le fichier UpdatesDeployment.log :

    Update (Site_73523994-7973-422C-A02B-F83A7A327F36/SUM_cca31bf2-b813-48d1-a4cd-ce317d024303) Progress: Status = ciStateDownloading, PercentComplete = 0, Result = 0x0 UpdatesDeploymentAgent

    Les solutions de contournement proposées :

    • Réponse Officielle : Microsoft recommande le redémarrage du client SMS Host Agent (CCMexec.exe) pour résoudre le problème s’il survient. Ceci n’est pas pratique notamment dans le scénario de séquence de tâches.
    • Réponse non officielle : Vous pouvez utiliser la version 1802 du client System Center Configuration Manager permette d’adresser le problème et installer les mises à jour lors du déploiement de la séquence de tâches.
    • 2/3/2019

    [Intune] Changement important dans le processus d’enregistrement iOS s’authentifiant avec Setup Assistant

    Microsoft vient d’annoncer un changement prochain avec Microsoft Intune dans le processus d’enregistrement des périphériques iOS à travers les méthodes d’enregistrements d’Apple : Apple Configurator, Apple Business Manager, Apple Device Enrollment Program (DEP) en utilisant Setup Assistant pour l’authentification. Le changement s’applique aux périphériques enregistrés avec une affinité utilisateur. Le changement est prévu pour Mars.

    Les profils d’enregistrement dans le portail Intune seront mis à jour afin de spécifier comment vous souhaiter authentifier le périphérique s’ils reçoivent le portail d’entreprise.

    Lors de l’enregistrement de nouveaux périphériques et de l'authentification avec Setup Assistant, vous pourrez choisir de déployer ou non l'application Company Portal automatiquement. Les utilisateurs finaux ne verront plus l'écran "Identify your device" et l'écran "Confirm your device" lors de l’enregistrement.

    Sur les périphériques déjà enregistrés via Setup Assistant via l'une des méthodes d'enregistrement des périphériques d'entreprise d'Apple, vous devez prendre certaines actions si vous souhaitez activer l'accès conditionnel. Vous devrez configurer une stratégie de configuration d'application avec un xml spécifique pour pousser le Company Portal vers ces périphériques.

    Une fois ce changement effectué, si vous n'avez pas déployé le Company Portal avec le profil de configuration d'application et si les utilisateurs finaux téléchargent l'application du Portail d'entreprise depuis l'App Store, ils pourront se connecter, mais un message d'erreur leur sera envoyé. Ils ne pourront pas utiliser l'application pour l'accès conditionnel.

    Vous devez donc créer cette stratégie de configuration d’application via le lien suivant : https://aka.ms/enrollment_setup_assistant

    • 2/3/2019

    La CTP 2.3 de SQL Server 2019 est disponible

    Microsoft vient de publier la Community Technology Preview 2.3 de SQL Server 2019. Cette version s’intègre à Apache Spark et HDFS dans une plateforme unifiée.

    La CTP 2.3 ajoute les éléments suivants :

    • Big data Clusters :
      • Soumettre des jobs Spark sur les grands clusters de données SQL Server à partir d'IntelliJ
      • Expérience de déploiement et de gestion d'applications pour le déploiement d'une variété d'applications liées aux données, y compris l'opérationnalisation de modèles d'apprentissage machine utilisant R et Python, l'exécution de tâches SQL Server Integration Services (SSIS), etc.
    • Database Engine :
      • Restauration accélérée de la base de données pour fournir un temps de récupération constant et un retour en arrière instantané pour les transactions de longue durée.
      • Amélioration des performances dans la recompilation des plans d'interrogation, la gestion des journaux des transactions et le Query Store.
      • Amélioration du SQL graph pour permettre la suppression en cascade des edges lors de la suppression de nœuds
    • SQL Server Analysis Services (SSAS)
      • Groupes de calcul dans les modèles tabulaires qui réduisent le nombre de mesures en réutilisant la logique de calcul.

    Plus d’informations sur : https://cloudblogs.microsoft.com/sqlserver/2019/03/01/sql-server-2019-community-technology-preview-2-3-is-now-available/

     

    Télécharger SQL Server 2019 CTP 2.3

    • 1/3/2019

    [Intune] Comment ne pas installer Microsoft Teams lors du déploiement d’Office 365 ProPlus ?

    Il y a quelques semaines, Microsoft annonçait l’installation par défaut de Microsoft Teams avec les dernières versions du client Office 365 ProPlus. Le changement a été opéré à partir de la version 16.0.11328.20116. Ceux qui ont utilisé Microsoft Intune pour déployer le client Office 365 ProPlus en utilisant les versions du canal mensuel (Monthly Channel), ont pu remarquer que le client était bel et bien installé par défaut. Néanmoins si vous regardez l’interface Intune, il n’est pas possible d’exclure Microsoft Teams.

    Microsoft travaille à ajouter cette option. Dans l’immédiat, si vous sélectionnez une version issue du canal mensuel (Monthly Channel) ou mensuel ciblé (Monthly Targeted), vous devez sélectionner une version antérieure à la Build16.0.11328.20116.

    • 28/2/2019

    [SCCM CB] Optimiser la gestion des mises à jour logicielle en assainissant son catalogue WSUS (nettoyage base de données, etc.)

    Depuis plusieurs mois maintenant, je rencontre des problématiques récurrentes autour de la gestion des mises à jour logicielles via System Center Configuration Manager chez tous les clients que je rencontre. Parmi ces problèmes, on retrouve :

    • L’incapacité de déployer des mises à jour pendant le déploiement de système d’exploitation
    • Des tempêtes d’analyses/scans ou une taille du catalogue de mises à jour (métadonnées) engendrant une surconsommation de la bande passante
    • Des clients qui ne se mettent pas à jour correctement en ne récupérant pas la liste de mises à jour comme attendu (timeout).
    • Une surcharge importante du serveur hébergeant le rôle Software Utapdate Point

    Les symptômes peuvent trouver leurs origines dans différentes raisons et je vais aborder l’une d’entre elles qui reste la plus commune et mérite une maintenance régulière.

    Avec les années, les entreprises ont utilisé System Center Configuration Manager pour mettre à jour différents produits et classifications. Avec l’arrivée de Windows 10, la multiplication des versions et la complexité du système de mises à jour. La quantité de métadonnées présentent dans le catalogue des serveurs WSUS a explosé. Il n’est pas rare de voir des clients récupérer un catalogue WSUS allant jusqu’à plusieurs centaines de mégaoctets. Ceci peut engendrer des timeouts lors de la récupération de ce catalogue et une surcharge de l’infrastructure. La multiplication des timeouts a l’effet pervers d’augmenter le nombre d’aller/retour des clients sur le serveur WSUS et ainsi d’empirer la situation.

    Avant d’aller plus loin, sachez que les manipulations réalisées dans cet article sont à vos risques et périls. Pour assainir son catalogue WSUS, il peut y’avoir un certain nombre d’actions de maintenance :

    1. Reconfigurer les classifications, langues et produits selon vos besoins
    2. Reconfigurer les règles de remplacement des mises à jour
    3. Configurer le nettoyage intégré après la synchronisation
    4. Lancer manuellement le nettoyage WSUS
    5. Décliner les mises à jour remplacées
    6. Décliner les mises à jour inutiles
    7. Supprimer les mises à jour déclinées
    8. Réindexer la base de données WSUS

     

    1. Reconfigurer les classifications, langues et produits selon vos besoins

    C’est la première action à réaliser ! Vous devez revalider les classifications, les langues et produits et s’assurer que vous ne synchronisez que ce dont vous avez besoin.

    Pour ce faire, ouvrez la console d’administration, et naviguez dans Administration – Site Configuration – Sites. Sélectionnez le site puis Configure Site Components – Software Update Point.

    Pour reconfigurer les classifications, choisissez l’onglet classifications :

    Par exemple si vous ne déployez pas de mises à jour de fonctionnalités, vous pouvez aisément décocher Upgrades.

     

    Pour configurer les produits, sélectionnez l’onglet Products :

    Retirez tous les produits que vous n’utilisez plus (Windows 2000, Windows XP, etc.). Une autre erreur commune est de cocher les produits ayant la mention :

    • <…> and later drivers
    • <…> and later upgrade and servicing drivers
    • <…> and later servicing drivers
    • <…> Dynamic Update
    • <…> Feature On-Demand
    • <…> GDR-DU
    • Windows 10 LTSB
    • <…> Language Interface Packs
    • <…> Drivers

    Ces produits ne sont pas supportés par Configuration Manager et ne peuvent pour l’instant pas être déployés par ce biais. Visez donc à assainir la partie produit.

     

    Faites de même dans l’onglet Languages en retirant toutes les langues que vous n’utilisez plus :

     

    Une fois la reconfiguration effectuée, vous pouvez lancer une synchronisation en naviguant dans Software Library – Software Updates – All Software Updates. Cliquez droit sur All Software Updates et sélectionnez Synchronize Software Updates.

     

    2. Reconfigurer les règles de remplacement des mises à jour

    Une erreur assez commune est aussi de configurer des règles de remplacement avec un délai relativement long. Par défaut, Configuration Manager expire les mises à jour remplacées après 3 mois. Avec le changement de la stratégie de Microsoft visant à fournir des correctifs cumulatifs, ce délai peut être réduit. Il n’est plus nécessaire de garder des mises à jour remplacées sur plusieurs mois. Vous pouvez donc aisément réduire ce délai à 2 mois voire même expirer immédiatement les mises à jour.

    Le choix de la valeur dépend de vos prérequis en matière de suivi du déploiement. L’expiration immédiate de la mise à jour arrêtera son déploiement et frisera donc votre pourcentage de conformité. Si vous devez atteindre un objectif (par exemple 98% de machines conformes), vous devez donc laisser un délai suffisant pour que les machines puissent continuer à récupérer les mises à jour. Néanmoins, les machines privilégieront potentiellement l’application d’une mise à jour plus récente.

    Depuis Configuration Manager 1810, les règles de remplacement sont séparées pour les mises à jour classiques et les mises à niveau (Features Update/Upgrades). Pour ce faire naviguez dans la console d’administration puis dans Administration – Site Configuration – Sites. Sélectionnez le site puis Configure Site Components – Software Update Point. Sélectionnez l’onglet Supersedence Rules :

     

    3. Configurer le nettoyage intégré après la synchronisation

    Depuis plusieurs versions de Configuration Manager Current Branch, il est maintenant possible d’exécuter un nettoyage de WSUS intégré après la synchronisation des mises à jour. Le mécanisme comporte de nombreux points faibles mais permet de faire un premier nettoyage. L’activation peut donc être bénéfique pour réaliser une maintenance récurrente.

    Pour ce faire naviguez dans la console d’administration puis dans Administration – Site Configuration – Sites. Sélectionnez le site puis Configure Site Components – Software Update Point. Sélectionnez l’onglet Supersedence Rules. Cochez la case Run WSUS Cleanup after synchronization:

     

    4. Lancer manuellement le nettoyage WSUS

    Cette opération doit être réalisée sur l’ensemble des serveurs WSUS associé au site ou à la hiérarchie Configuration Manager.

    Avant de réaliser cette opération, procédez à la sauvegarde de la base de données WSUS ainsi que la sauvegarde du site SCCM.

    Une action préliminaire à ce nettoyage en profondeur peut être lancer manuellement l’assistant de nettoyage de WSUS. Pour ce faire, ouvrez la console d’administration de WSUS. Déroulez le nom du serveur WSUS puis Options. Sélectionnez Server Cleanup Wizard.

    Sur l’assistant, cochez l’ensemble des cases et lancez l’opération de nettoyage :

     

    5. Décliner les mises à jour remplacées

    Cette opération doit être réalisée sur l’ensemble des serveurs WSUS associé au site ou à la hiérarchie Configuration Manager.

    Avant de réaliser cette opération, procédez à la sauvegarde de la base de données WSUS ainsi que la sauvegarde du site SCCM.

    Bien que Configuration Manager expire les mises à jour remplacées, un nombre important de mises à jour ont pu passer outre ce mécanisme. Pour cela, je vous recommande le script Decline-SupersededUpdates.ps1 que l’équipe Configuration Manager a fourni sur son blog.

    Lancez PowerShell en tant qu’administrateur et naviguez où vous avez stocker le script. Exécutez la commande suivante :

    .\Decline-SupersededUpdates.ps1 -UpdateServer <NomDuServer> -Port 8530 -ExclusionPeriod XX -SkipDecline

    Le paramètre ExclusionPeriod permet de spécifier le nombre de jours depuis la date d’aujourd’hui. Si vous avez spécifié une période dans les règles de remplacement des mises à jour, vous devez réutiliser cette valeur (nombre de mois) et convertir en jours. Si vous expirez immédiatement les mises à jour remplacées, vous pouvez retirer ce paramètre.

    Le paramètre SkipDecline permet de lancer la commande sans véritablement décliner les mises à jour. Un fichier CSV permet de revalider

    Vous pouvez ajouter le paramètre -UseSSL si WSUS est configuré en mode SSL. Il vous faudra aussi changer le port avec 8531.

    Par exemple :

    .\Decline-SupersededUpdates.ps1 -UpdateServer WSUSSERVER -Port 8531 -ExclusionPeriod 60

    Je vous recommande d’exécuter la commande avec le paramètre -SkipDecline afin de vérifier la liste des mises à jour dans le fichier CSV. Une fois validé, relancez la commande sans ce paramètre.

     

    6. Décliner les mises à jour inutiles

    Cette opération doit être réalisée sur l’ensemble des serveurs WSUS associé au site ou à la hiérarchie Configuration Manager. Commencez par le site le plus haut dans la hiérarchie puis descendez sur les serveurs WSUS des sites primaires et des sites secondaires.

    Avant de réaliser cette opération, procédez à la sauvegarde de la base de données WSUS ainsi que la sauvegarde du site SCCM.

    Maintenant que nous avons réalisé les opérations de nettoyage des mises à jour remplacées, nous pouvons réaliser une opération plus agressive de nettoyage des mises à jour inutiles. On peut par exemple penser :

    • Aux mises à jour Itanium pour les produits Windows Server
    • Aux mises à jour ARM64 pour Windows 10
    • Aux mises à jour pour des produits inutilisés : Windows 2000, Windows XP, Windows 2003, etc. En effet certaines mises à jour ne sont jamais déclinées.
    • Aux mises à niveau (Feature update) dans des langues, des architectures, des éditions (Team, Education, etc.) non présentes dans votre parc informatique.
    • Aux mises à niveau Office 365 ProPlus qui ne seraient pas déployées (Targeted, First Release, Monthly Channel, etc.)
    • Aux mises à jour Version Next de Windows 10 et Windows Server qui ont été proposées pour les versions préliminaires.
    • Aux mises à jour s’appliquant à des versions Windows 10 qui ne sont pas présentes sur votre parc.
    • Aux anciennes mises à jour Windows 7 qui pourraient être inclues dans les Cumulative Updates que vous déployez.
    • Aux préversions (Preview) des mises à jour (Cumulatives, etc.)

    La liste est non exhaustive et peut être enrichie avec d’autres cas selon vos usages.

    Attention : Toutes mises à jour déclinées qui sont ensuite supprimées, ne peuvent plus être retrouvées. Il vous faudra réinstaller WSUS et recréer la base de données. Réfléchissez donc bien avant de décliner une mise à jour !!

    Pour ce faire, vous devez ouvrir la console d’administration WSUS et naviguer dans Update Services - <NOMSERVER> - Updates – All Updates. Sur cette vue, vous devez sélectionner le mode Approval : Any Except Declined avec le Statut Any.

    Vous retrouvez la liste des mises à jour non expirées. Vous retrouvez notamment le nombre total de mises à jour ayant un statut autre qu’expiré et le nombre total de mises à jour (incluant les mises à jour expirées).

    Vous pouvez ensuite via la fonction recherche (Search…) pour rechercher les mises à jour via un mot clé. Par exemple, si vous savez que vous n’aurez jamais d’édition Education sur votre Parc ; vous pouvez alors décliner toutes les mises à niveau ciblant ces versions.

    Faites une revue complète de toutes les mises à jour listées puis sélectionner-les et choisissez Decline :

     

    Validez la fenêtre d’avertissement pour décliner les mises à jour. Vérifiez le nombre associé.

     

    Une fois terminé, rafraichissez la vue pour voir le nombre de mises à jour non déclinées se réduire. Répétez l’opération pour toutes les mises à jour éligibles à votre contexte (ARM64, anciennes mises à jour Windows 2000, langues de mise à niveau non présentes dans votre parc etc.) selon la liste que j’ai détaillée plus haut. Par exemple si vous n’avez que des systèmes d’exploitation anglais et français, vous pouvez retirer toutes les mises à niveau des autres langues (Feature Update). Veillez à ne pas retirer des langues qui pourraient être introduites dans le futur. Vous devez aussi valider le type d’édition éventuelle sur votre parc (Consumer ou Business). Je ne saurais vous recommander que de garder les deux si des machines venaient à apparaître dans une édition consumer.

     

    Notez toutes les mises à jour déclinées de manière à répéter l’opération sur l’ensemble des serveurs WSUS de votre hiérarchie. Les serveurs WSUS partageant la même base de données ne nécessite la réalisation de l’opération qu’une seule fois.

     

    Pour les mises à jour Itanium (si vous avez activé des produits relatifs à Windows Server), vous pouvez utiliser le script suivant. Ce dernier déclinera automatiquement toutes les mises à jour en utilisant la commande : .\Decline-WsusItaniumUpdates.ps1 -WsusServer <NOMDUSERVER> -PortNumber 8530 -TrialRun $false

     

    7. Supprimer les mises à jour déclinées

    Cette opération doit être réalisée sur l’ensemble des serveurs WSUS associé au site ou à la hiérarchie Configuration Manager. Commencez par le site le plus haut dans la hiérarchie puis descendez sur les serveurs WSUS des sites primaires et des sites secondaires.

    Avant de réaliser cette opération, procédez à la sauvegarde de la base de données WSUS ainsi que la sauvegarde du site SCCM.

    Une fois le déclin des mises à jour réalisé, nous allons pouvoir physiquement supprimer les mises à jour déclinées de la base de données.

    ATTENTION ! Cette opération est irréversible et supprimera définitivement la mise à jour sans avoir la possibilité de la réinjecter. Vous devez donc être sûr en revalidant les mises à jour déclinées avant de lancer cette suppression.

    Pour cette opération, on retrouve deux scripts potentiels que je vous recommande d’exécuter. Le premier est script SQL et a été réalisé par Benjamin Reynolds (MSFT). Vous pouvez le retrouver sur le site de Steve Thompson (MVP). Il permet notamment d’ajouter un index permettant d’optimiser l’opération tout en supprimer une partie des mises à jour déclinées.

    Si vous déployez les mises à jour de définition Windows Defender ou System Center Endpoint Protection, vous observerez un grand nombre de mises à jour de définition déclinées.

    Vous avez deux cas :

    • Soit la base de données est hébergée sur SQL Server (configuration préférable pour des raisons de maintenance)
    • Soit la base de données utilise Windows Internal Database.

    Dans le premier cas pour exécuter le script, ouvrez SQL Server Management Studio avec un compte utilisateur ayant les droits sur l’instance et sur la base de données WSUS (SUSDB). Chargez le script via un fichier tsql ou procédez à la création d’une requête (New Query) en copiant/collant le script tsql. Enfin, lancez l’exécution et laissez tourner. Vous pouvez observer l’avancement de la suppression et le nombre total de mises à jour à supprimer dans l’onglet Messages de la sous-partie de SQL Server Management Studio :

     

    Dans le second cas (WID) pour exécuter le script, utiliser les outils en ligne de commande sqlcmd en pointant sur l’emplacement du script :

    sqlcmd -S np:\\.\pipe\MSSQL$MICROSOFT##SSEE\sql\query –i <emplacement du script>\DeclineUpdates.sql

     

    Pour vérifier qu’il ne reste pas de mises à jour à supprimer, ouvrez PowerShell en tant qu’administrateur et utiliser les cmdlets PowerShell suivantes :

    $wsus = [Microsoft.UpdateServices.Administration.AdminProxy]::getUpdateServer()

    [reflection.assembly]::LoadWithPartialName("Microsoft.UpdateServices.Administration") | Out-Null

    $wsus.getupdates() | Where {$_.isdeclined -match 'true'} | ForEach-Object { $wsus.DeleteUpdate($_.Id.UpdateID); Write-Host $_.Title removed }

     

    Notez toutes les mises à jour déclinées de manière à répéter l’opération sur l’ensemble des serveurs WSUS de votre hiérarchie. Les serveurs WSUS partageant la même base de données ne nécessite la réalisation de l’opération qu’une seule fois.

    Cette opération réalisée, la taille du catalogue de mises à jour à considérablement baissée et la taille des métadonnées téléchargées par les clients aussi. Outre l’impact sur le réseau, cela allège les phases d’analyse du catalogue sur les clients.

     

    8. Réindexer la base de données WSUS

    Une fois les opérations de nettoyage terminées, je vous recommande de procéder à la ré-indexation de la base de données WSUS. Ceci peut être réalisé de différentes manières. On retrouve les célèbres scripts de maintenance d’Ola Hallengren mais vous pouvez aussi utiliser le script proposé par les ScriptingGuys. Le second est dédié à WSUS et peut être plus facile à utiliser.

    Pour exécuter le script, ouvrez SQL Server Management Studio avec un compte utilisateur ayant les droits sur l’instance et sur la base de données WSUS (SUSDB). Chargez le script via un fichier tsql ou procédez à la création d’une requête (New Query) en copiant/collant le script tsql. Enfin, lancez l’exécution et laissez tourner. Vous pouvez observer l’avancement de la suppression et le nombre total de mises à jour à supprimer dans l’onglet Messages de la sous-partie de SQL Server Management Studio :

    Même remarque si la base de données est hébergée via Windows Internal Database (WID), vous devez exécuter le script via la commande :

    sqlcmd -S np:\\.\pipe\MSSQL$MICROSOFT##SSEE\sql\query –i <scriptLocation>\WsusDBMaintenance.sql

    Ces scripts peuvent être exécuter de manière hebdomadaire afin d’assurer une indexation correcte de la base de données. Note la base de données WID n’ayant pas d’agent SQL Server, il vous faudra planifier l’exécution via une tâche planifiée par exemple.

    • 28/2/2019

    [SCCM 1810] System Center Configuration Manager Visio Shapes (Stencil) Updated for ConfigMgr 1810 (v1.4)

    I’ve updated for System Center Configuration Manager 1810 the Visio Stencils/Shapes (v1.4) that I’ve created for System Center 2012 R2 Configuration Manager. As a reminder, it is not official but based on some models seen in the Microsoft sessions. It is based on stencil that some people from the community had published for SCCM 2007. This new version includes the changes from CM 1810 and some others updates.

    Version 1.4 changes include :

    • Adding Primary Site Servers (HA Active/Passive)
    • Adding CAS Site Servers (HA Active/Passive)
    • Adding Data Warehouse Synchronization Point - CAS
    • Adding Data Warehouse Synchronization Point - Primary Site
    • Adding Azure Web Apps
    • Adding Azure Native Apps
    • Adding Desktop Analytics
    • Adding Jamf Pro
    • Adding Datalert
    • Adding an Android Enterprise Device in addition to a Legacy Device
    • Tagging System Health Validator Point as Deprecated as it cannot be installed for few releases now.

     

    Download ConfigMgr (SCCM) 1810 Visio Stencils v1.4 from TechNet Gallery

    Any feedbacks are appreciated.

    This stencil is provided "AS IS" without express or implied warranty of any kind.

    En français :
    Je profite de plusieurs changements sur les versions précédentes afin de mettre à jour les gabarits (Stencils/Shapes) que j’avais créé. La mise à jour couvre les nouvelles fonctionnalités et la mise à jour de certaines formes. Pour rappel, il n’est pas officiel mais se base sur certains modèles aperçus dans les sessions Microsoft. Il se base sur le stencil qu’avait publié la communauté pour SCCM 2007.

    Parmi les changements, on retrouve :

    • Ajout de serveurs de site primaire (HA actif/passif)
    • Ajout de serveurs de site CAS (HA actif/passif)
    • Ajout d'un Data Warehouse Synchronization Point - CAS
    • Ajout d'un Data Warehouse Synchronization Point - Primary Site
    • Ajout d’Azure Web Apps
    • Ajout d’Azure Native Apps
    • Ajout de Desktop Analytics
    • Ajout de Jamf Pro
    • Ajout de Datalert
    • Ajout d'un périphérique Android Enterprise en plus d'un périphérique Android hérité
    • Marquage System Health Validator Point comme obsolète car il ne peut pas être installé depuis quelques versions maintenant.
    • 27/2/2019

    [SCCM 1810] Publication du Correctif (KB4490434) pour un problème de découverte utilisateur

    Microsoft a publié un correctif non cumulatif (KB4490434) à destination de System Center Configuration Manager 1810. Ce second correctif résout un problème concernant la découverte des utilisateurs où on peut observer la création de colonnes dupliquées dans la table User_DISC.
    Dans ce cas de figure, les fonctionnalités qui utilisent les données de la découverte Active Directory des utilisateurs (collections, requêtes, déploiements) peuvent retourner des résultats incorrects ou incomplets. Ce scénario survient :

    • Lors de la mise à niveau vers la version 1810
    • Si des attributs additionnels sont collectés par la découverte des utilisateurs Active Directory
    • Une différence existe entre la casse actuellement spécifiée de l'attribut et la casse précédemment saisi pour l'attribut.

    Par exemple, cela survient si vous ajoutez manuellement l'attribut "Description" dans la console, que vous le supprimez, puis que vous l’ajoutez à nouveau au format minuscule.

    Vous pouvez potentiellement voir des problèmes dans le fichier SMS_Message_Processing_Engine.log puisque les colonnes sont continuellement ajoutées tant que le problème n’est pas corrigé :

    Undefined or max length increased discovery property: description~~
    Updating discovery schema for architecture User with 1 undefined discovery properties~~
    Created column generation xml for global table. <COLUMN NAME="description675" TYPENAME="NVARCHAR" MAX_LENGTH="32" />~~
    Created table begin xml for global table. <TABLE NAME="User_DISC">~~
    Created table end xml for global table. </TABLE>~~
    ERROR: Sql exception when handle schema change. System.Data.SqlClient.SqlException (0x80131904): A .NET Framework error occurred during execution of user-defined routine or aggregate "spModifyGlobalTable": ~~System.Data.SqlClient.SqlException: Request submitted with too many parameters. The maximum number is 2100.~~

    Pour savoir si vous êtes affecté par le problème, vous pouvez utiliser la commande SQL suivant :

    -- Get extended AD attributes for all sites if AD user discovery is enabled

    DECLARE ADAttributeCursor CURSOR LOCAL FOR SELECT scpl.Value FROM SC_Component sc 

    INNER JOIN SC_Component_Property scp ON sc.ID = scp.ComponentID 

    INNER JOIN SC_Component_PropertyList scpl ON sc.ID = scpl.ComponentID

    WHERE ComponentName = 'SMS_AD_USER_DISCOVERY_AGENT' AND scp.Name = 'SETTINGS' AND Value1 = 'ACTIVE' AND scpl.Name = 'AD Attributes'

     

    DECLARE @ADAttributes TABLE (Attribute NVARCHAR(MAX))

    DECLARE @ADAttributesXML XML

     

    OPEN ADAttributeCursor;     

    FETCH NEXT FROM ADAttributeCursor INTO @ADAttributesXML;   

    WHILE @@FETCH_STATUS = 0    

    BEGIN 

        INSERT INTO @ADAttributes SELECT T.c.value('.', 'NVARCHAR(MAX)') AS ADAttribute FROM @ADAttributesXML.nodes('/PropList/Value') T(c)

     

        FETCH NEXT FROM ADAttributeCursor INTO @ADAttributesXML;    

    END 

     

    CLOSE ADAttributeCursor;  

    DEALLOCATE ADAttributeCursor; 

     

    -- Compare with User Discovery Schema to find out if all extended AD attributes are defined there and have case sensitive name difference

    SELECT aa.Attribute AS ProposedAttribute, dpd.PropertyName AS ActualAttribute FROM (SELECT DISTINCT Attribute FROM @ADAttributes) aa

    INNER JOIN DiscPropertyDefs dpd ON aa.Attribute = dpd.PropertyName AND dpd.DiscArchKey = 4

    WHERE aa.Attribute <> dpd.PropertyName COLLATE SQL_Latin1_General_CP1_CS_AS

    Si ce problème survient, vous devez :

    • Désactiver la découverte d’utilisateurs Active Directory
    • Contacter le support Microsoft pour corriger les problèmes de données dans votre environnement.

    L’installation du correctif ne résout pas le problème mais empêche simplement que celui-ci survienne.

    L’installation doit se faire depuis la console d’administration dans la partie Updates and Servicing. Notez qu’il n’est pas nécessaire d’installer le correctif cumulatif (4486457) précédemment publié

    Note : Il n'y a pas d'ordre pour installer l'un des deux correctifs.

    • 27/2/2019

    [SCCM 1810] Publication du Correctif (KB4490575) pour un problème de mises à jour logicielles

    Je vous parlais de ce problème il y a quelques jours, Microsoft a publié un correctif non cumulatif (KB4490575) à destination de System Center Configuration Manager 1810. Ce premier correctif résout un problème concernant l’installation des mises à jour logicielles qui ne répondent pas et ne renvoient pas d’état de finalisation que ce soit lors de l’installation avec le client SCCM ou dans une séquence de tâches. Ceci survient principalement quand on installe plusieurs mises à jour mixant à la fois Office et Windows. Le problème survient le plus souvent sur Windows 10 1709 mais peut aussi affecter d’autres versions.

    Si on exécute les mises à jour lors d’une étape Install Software Update, le composant InstallSWUpdate renvoie les messages suivants dans smsts.log :

    Waiting for job status notification ...

    Dans le fichier WUAHandler.log vous pouvez voir que l’installation de toutes les mises à jour s’effectue avec succès bien que la main ne soit jamais rendue.

    Lorsque ce comportement intervient dans un scénario de gestion des mises à jour logicielles (SUM) classique (sans séquence de tâches), vous pouvez voir que l’installation ne démarre jamais et que toutes les mises à jour restent bloquées dans un état ciStateDownloading. Vous pouvez notamment voir les éléments suivants dans le fichier UpdatesDeployment.log :

    Update (Site_73523994-7973-422C-A02B-F83A7A327F36/SUM_cca31bf2-b813-48d1-a4cd-ce317d024303) Progress: Status = ciStateDownloading, PercentComplete = 0, Result = 0x0 UpdatesDeploymentAgent

    Dans certains environnements, vous pouvez voir que le processus d’installation s’arrête après. Le redémarrage du client (CCMexec.exe) peut permettre de continuer le processus.

    L’installation doit se faire depuis la console d’administration dans la partie Updates and Servicing. Notez que vous devez au préalable avoir installé le correctif cumulatif 4486457 Update rollup for System Center Configuration Manager current branch, version 1810

    Note : Il n'y a pas d'ordre pour installer l'un des deux correctifs.

    • 26/2/2019

    [Azure] Les annonces au 26 février 2019

    Voici le récapitulatif des annonces faites par Microsoft concernant sa plateforme Microsoft Azure.

    Parmi les annonces, on retrouve notamment :

    General

    Azure MarketPlace

    Azure Storage

    • Preview d’une fonctionnalité permettant de contrôler le failover de compte de stockage géo redondant (GRS). Si la région principale de votre compte de stockage géo-redondant devient indisponible pendant une période prolongée, vous pouvez forcer un basculement de compte. Lorsque vous effectuez un basculement, toutes les données du compte de stockage sont transférées dans la région secondaire et la région secondaire devient la nouvelle région primaire. Les enregistrements DNS de tous les terminaux de services de stockage - blob, Azure Data Lake Storage Gen2, fichier, file d'attente et table - sont mis à jour pour indiquer la nouvelle région principale. Une fois le basculement terminé, les clients peuvent automatiquement commencer à écrire des données dans le compte de stockage à l'aide des endpoints de la nouvelle région principale, sans aucune modification du code.
    • Disponibilité Générale d’Azure Data Lake Storage (ADLS) Génération 2. La solution combine l'évolutivité, la rentabilité, le modèle de sécurité et les riches capacités d'Azure Blob Storage avec un système de fichiers hautes performances conçu pour l'analyse et compatible avec le système de fichiers distribués Hadoop. La solution offre des capacités de sécurité de la données construite dans Azure Blob Storage comme le chiffrement des données en transit et au repos via TLS 1.2, les firewalls pour les comptes de stockage, l’intégration des réseaux virtuels et la sécurité des accès basée sur des rôles.
    • Disponibilité Générale d’Azure Data Explorer (AFX), un service d'analyse de données rapide et entièrement géré pour l'analyse en temps réel de grands volumes de données en continu. ADX est capable d'interroger 1 milliard d'enregistrements en moins d'une seconde sans aucune modification des données ou métadonnées requises. ADX comprend également des connecteurs natifs vers Azure Data Lake Storage, Azure SQL Data Warehouse et Power BI et est livré avec un langage de requête intuitif permettant aux clients d'obtenir un aperçu en quelques minutes.

    Azure Security Center

     

    IaaS

    Operations Management Suite

    Azure Backup

    Azure Site Recovery

    Azure Monitor

    • Améliorations d’Application Insights avec les éléments suivants. Pour rappel, Application Insights permet de superviser les performances des applications Java, .NET, et Node.JS ainsi que les applications JavaScript.
      • La vue de transactions de bout en bout supporte maintenant le filtrage d’une période de temps données afin d’analyser les éléments.
      • L'onglet Rôles préserve maintenant la sélection des rôles lors de la navigation à partir de l’application map.
      • L'onglet Rôles n'affiche plus les instances de rôles dupliqués avec des noms de rôles vides.
      • Le panneau de détails n'affiche plus "..." à côté d'éléments tels que les temps d'événements qui n'auraient pas dû avoir ce bouton.
      • Microsoft a rendu l’application map plus facile à lire et naviguer avec un bouton Zoom to fit, les nœuds groupés sont maintenant affichés sous forme de pile pour les rendre plus faciles à distinguer. On retrouve l’ajout de boutons "expand" et "collapse" pour les cartes insights dans le menu déroulant. Les nœuds sans connexion entrante sont maintenant affichés plus près de leur première connexion sortante sur la carte, ce qui devrait faciliter la lecture de nombreuses cartes. Les cartes avec de nombreux bords groupés complexes afficheront maintenant des statistiques.
      • Mise à jour de la calculatrice de prix pour estimer la facture autour d’Application Insights.
      • Publication de la version 2.9.0 pour le SDK .Net et la version 2.6.0 du SDK ASP.NET Core.
      • Publication de la version Alpha du SDK C# OpenCensus.
    • Les changements suivants sont intégrés à Log Analytics :
      • La tuile et les boutons Log Analytics sont renommés Log Analytics workspaces.
      • Log Analytics utilise Azure Data Explorer pour gérer ses données. Les données sont stockées dans Azure Storage et sont chiffrées à l'aide d'une clé de chiffrement gérée par Microsoft. Azure Data Explorer utilise également une mémoire cache sauvegardée par SSD qui stocke généralement les deux dernières semaines de données. Depuis janvier, les données des caches SSD sont également chiffrées dans toutes les régions.
      • Log Analytics enregistre maintenant automatiquement vos requêtes, afin qu'elles ne se perdent pas. Cette fonction nécessite l'activation des cookies tiers dans votre navigateur.
      • De nouvelles icônes indiquent les éléments de table dans la vue schéma, ce qui facilite la lecture. Lors du survol d'une table, un nouvel élément de prévisualisation permet une exécution rapide d'une requête pour afficher le contenu d'une table.
      • Microsoft permet la personnalisation des champs de filtrage directement à partir du volet de filtrage. Sélectionnez simplement la nouvelle icône Select filter et ajoutez le champ dont vous avez besoin.
      • Vous pouvez ajouter plus de contexte à vos graphiques en utilisant le mot-clé titre pour ajouter un titre.
    • Azure Monitor Workbooks permet maintenant de prendre un workbook et l’accrocher à toutes les sections comme titre dans un tableau de bord Azure via le bouton Pin. Les Workbooks créés à partir de l'onglet Troubleshooting Guides ou d'Azure Monitor for Resource Groups vous permettent désormais de choisir dans quel abonnement, groupe de ressources et emplacement les enregistrer.
    • A partir de la page des métriques, vous pouvez maintenant choisir à quel tableau de bord Azure vous placez vos cartes métriques. Vous pouvez même créer un nouveau tableau de bord à partir du même endroit.

    Azure SQL

    • Disponibilité Générale de la supervision automatique des performances (Query Store) dans Azure SQL Data Warehouse. Ceci est disponible pour les entreprises hébergeant des bases sur les deux générations 1 et 2. Query Store permet d’aider à dépanner les performances des requêtes en assurant le suivi des requêtes, des plans de requêtes, des statistiques d'exécution et de l'historique des requêtes pour vous aider à surveiller l'activité et les performances de votre data warehouse. Query Store est un ensemble de magasins internes et de vues de gestion dynamique (DMV) qui vous permettent :
      • Identifier et affiner les principales requêtes consommatrices de ressources.
      • Identifier et améliorer les charges de travail ad hoc.
      • Évaluer la performance de la requête et son impact sur le plan par des changements dans les statistiques, les indices ou la taille du système (paramètre DWU).
      • Voir le texte complet de la requête pour toutes les requêtes exécutées.

    Azure Data Factory

    • De nouveaux connecteurs sont disponibles pour Azure Data Factory avec notamment la capacité d’ingérer des données à partir de Google Cloud Storage dans Azure Data Lake Gen2 et traité dans Azure Databricks avec des données à partir d’autres sources, d’intégrer des données à partir de stockage de données compatibles Amazon S3, de copier des données à partir de MongoDB vers l’API Azure Cosmos DB MongoDB, et récupérer les données à partir des points de terminaisons RESTful. Les connecteurs suivants ont été mis à jour : Azure Database for MariaDB, Generic OData, et Dynamics AX.
    • Avec la fonctionnalité Mapping Data Flow dans Azure Data Factory, vous pouvez visualiser le design, construire et gérer les processus de transformation de données sans avoir à apprendre Spark ou avoir des connaissances importantes sur les infrastructures distribuées.

    HDInsight

    Azure IoT

    • Public Preview d’IoT Hub Device Streams, un nouveau service PaaS permettant de fournir les fondation d‘une connectivité de bout en bout sécurisée pour les périphériques IoTLe service correspond à un tunnel de transfert de données qui assure la connectivité entre deux terminaux TCP/IP : un côté du tunnel est un périphérique IoT et l'autre côté est un terminal client qui a l'intention de communiquer avec le périphérique. Il existe de nombreuses configurations où la connectivité directe à un périphérique est interdite en raison des stratégies de sécurité de l’entreprise et des restrictions de connectivité imposées à ses réseaux. Ce service permet d’offrir une réponse à ces scénarios.
    • Azure IoT Edge peut fonctionner dans une machine virtuelle pour les systèmes d’exploitation suivants.

    Autres services