Jean-Sébastien DUCHENE Blog's

Actualité, Tips, Articles sur l'ensemble des Technologies Microsoft (SCCM/SMS, EMS, Microsoft Intune, Microsoft Azure, Windows 10, SCOM, MDOP...)
    • 14/7/2019

    [Office 365] Désactiver l’authentification basique sur Exchange Online

    Les projets de sécurisation se multiplient et certains aspects passent par la sécurisation de l’authentification sur les services. Azure Active Directory Premium propose l’accès conditionnel et permet notamment de créer des règles d’accès pour bloquer les authentifications basiques et non modernes. Ceci apporte une première couche de sécurité.

    Il y a quelques mois, Microsoft a publié une documentation permettant de détailler comment complétement désactiver l’authentification basique sur Exchange Online. Cela peut constituer l’étape suivante si vous avez déjà mis en place des règles d’accès conditionnel et que l’ensemble de vos clients et connexions utilisent de l’authentification modernes.

    Si vous souhaitez aller vers ce chemin, vous pouvez lire avec attention l’article suivant pour connaître la marche à suivre : Disable Basic authentication in Exchange Online

    • 13/7/2019

    [SCCM CB] Optimiser la distribution via Peer Cache

    L’équipe qui gère System Center Configuration Manager chez Microsoft, a publié un article donnant quelques indications pour optimiser la distribution via les solutions de P2P comme Peer Cache de System Center Configuration Manager.

    Parmi les recommandations de la documentation, on retrouve l’utilisation de Source Peer Cache spécifiques répondant aux critères suivants :

    • Utiliser principalement des stations de travail (pas de portable)
    • Utiliser des machines qui ont une connexion câblée (pas de wi-fi)
    • Ne pas utiliser de machine virtuelle

    L’équipe ajoute aussi l’exclusion des utilisateurs VIPs pour éviter un quelconque impact.

    Pour rappel, les Peer Cache Sources sont les clients qui servent d’hôte de contenu pour les autres clients. Il est donc essentiel de cibler correctement ces machines.

    Par conséquent, l’équipe MSIT donne une requête qui peut être utilisée dans votre environnement. Elle vous permet notamment d’exclure certains sites Active Directory si nécessaire (en gras) :

    select SMS_R_SYSTEM.ResourceID,SMS_R_SYSTEM.ResourceType,SMS_R_SYSTEM.Name,SMS_R_SYSTEM.SMSUniqueIdentifier,SMS_R_SYSTEM.ResourceDomainORWorkgroup,SMS_R_SYSTEM.Client from SMS_R_System inner join SMS_G_System_SYSTEM_ENCLOSURE on SMS_G_System_SYSTEM_ENCLOSURE.ResourceID = SMS_R_System.ResourceId inner join SMS_G_System_NETWORK_ADAPTER on SMS_G_System_NETWORK_ADAPTER.ResourceId = SMS_R_System.ResourceId inner join SMS_G_System_NETWORK_ADAPTER_CONFIGURATION on SMS_G_System_NETWORK_ADAPTER_CONFIGURATION.ResourceId = SMS_R_System.ResourceId where SMS_G_System_SYSTEM_ENCLOSURE.ChassisTypes in ("3","6","4","5","7","15","16","17","23") and (SMS_G_System_NETWORK_ADAPTER.AdapterType = "Ethernet 802.3" and SMS_G_System_NETWORK_ADAPTER_CONFIGURATION.IPEnabled = 1) and SMS_R_System.IsVirtualMachine = "False" and SMS_R_System.ADSiteName not in (<<<<<Sites AD que vous souhaitez exclure>>>>>)

    Microsoft planifie encore des optimisations de Peer Cache pour améliorer l’élection des Peer Cache Sources de manière automatique.

    En outre, vous pouvez aussi utiliser LEDBAT pour optimiser les transferts entre les points de distribution et les clients.

    Plus d’informations sur : Our journey to peer content distribution

    • 12/7/2019

    [Windows Server] Problème de configuration de LEDBAT sur WS 2016/2019

    L’information est assez ancienne mais étant donné qu’elle est arrivée à un de mes clients, je pense qu’elle a toute légitimité pour être postée aujourd’hui. LEDBAT est une nouvelle technologie proposée par Microsoft qui permet d’optimiser l’usage de la bande passante dynamiquement en fonction de la charge utile en temps réel. Cela signifie que si vous lancez par exemple la distribution d’un contenu, la vitesse d’envoi s’adaptera dynamiquement de manière à laisser les autres flux tels qu’Office 365, Citrix, des applications métiers, etc. prioritaires sur ce flux. LEDBAT est notamment très utile avec System Center Configuration Manager pour à la fois :

    • Adapter la vitesse d’envoi du contenu entre le serveur de site et les points de distribution
    • Mais aussi gérer la vitesse de téléchargement entre les clients et les points de distribution.

    Bien entendu l’usage de cette fonctionnalité requiert un certain nombre de prérequis :

    • System Center Configuration Manager 1806 ou plus
    • Des points de distribution avec Windows Server 2016 avec les KB4132216 et KB4284833 ou Windows Server 2019 (à partir de ConfigMgr 1810)
    • Il n’y a pas de versions spécifiques clientes puisque l’intelligence est gérée du côté des serveurs.

    En octobre dernier, Microsoft a communiqué car plusieurs personnes remontaient que LEDBAT ne fonctionnait pas correctement. C’est en réalité à cause d’une erreur de configuration. Les modèles TCP doivent être configuré avec InternetCustom et non DatacenterCustom.

    System Center Configuration Manager configure correctement ces valeurs et vous ne devriez pas rencontrer de problème. Néanmoins si la fonctionnalité a été configurée à la main, il se peut qu’une mauvaise configuration ait été appliquée.

    Si vous pensez être dans ce cas, je vous invite à lire : Support for LEDBAT: Public Service Announcement

    • 9/7/2019

    [Intune/Autopilot] Dépanner Microsoft Intune ou Windows Autopilot via un outil en ligne de commande

    Le dépannage des nouvelles méthodes modernes de déploiement et de gestion des périphériques, peut parfois être un peu obscure en comparaison des fichiers de journalisation de ConfigMgr. Aujourd’hui, je vous propose de découvrir un outil en ligne de commande qui permet de dépanner Windows Autopilot ou Microsoft Intune. Windows 10 intègre mdmdiagnosticstool.exe.
    Cet outil peut être exécuté :

    • Via une invite de commande
    • En pressant Shift+F10 depuis l’écran de post-expérience (OOBE) avec Windows PE.

    Vous pouvez ensuite utiliser la commande sur la forme pour collecter des informations de dépannage :

    mdmdiagnosticstool.exe -area <Zone> -cab <Chemin où exporter le CAB>

    Parmi les zones, on retrouve :

    • Autopilot
    • DeviceEnrollment
    • DeviceProvisioning
    • TPM

    Vous pouvez donc utiliser par exemple la commande : mdmdiagnosticstool.exe -area Autopilot -cab c:\temp\Autopilot.cab

    Note : Il est possible d’exporter plusieurs zones en séparant les mots clés par des points virgules (;)

    On retrouve dans le CAB différents éléments (logs, rapports, clés de registre, etc.) qui différent en fonction de la zone exportée :

    • Rapport de diagnostique MDM
    • Export des clés de registre
    • Journaux d’événements (AAD, Provisioning, DeviceManagement, etc.)

    • 8/7/2019

    [AIP] Un tutoriel pour tester Azure Information Protection

    La documentation Microsoft est complète mais souvent assez peu dirigée pour permettre de se créer un vrai scénario d’usages afin de monter en compétence ou tester une fonctionnalité. Aujourd’hui, j’ai remis la main sur lab proposé à l’occasion de l’Ignite qui permet d’avoir un vrai tutoriel d’implémentation pour Azure Information Protection.

    C’est une bonne ressource si vous souhaitez monter en compétences : https://aka.ms/AIPLAB

    • 8/7/2019

    [AIP] Désactiver l’option Encrypt-Only/Chiffrer Uniquement dans Outlook

    Si vous utilisez Azure Information Protection, il se peut que vous souhaitiez désactiver l’option Encrypt-Only (ou Chiffrer Uniquement) proposée dans Outlook.  Vous pouvez potentiellement souhaiter appliquer la fonctionnalité Office 365 Message Encryption (OME) via des règles de transfert d’email.

    Afin de désactiver cette option, vous pouvez déployer la valeur de registre suivante :

    • HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Common\DRM
    • DisableEO comme valeur DWORD à 1

    Notez qu’il n’est pas possible d’appliquer cette option en fonction de la boite aux lettres. Si un utilisateur a plusieurs boites aux lettres provenant de tenant différents, l’option sera bloquée pour l’ensemble des boites aux lettres.

    Ceci s’applique à :

    • Office 365 ProPlus Semi Annual Channel 1808 avec mise à jour de Mars 2019 ou version ultérieure
    • Office 365 ProPlus Monthly Channel 1902

    Après application, l’option n’est plus proposée à l’utilisateur :

    • 7/7/2019

    [SCOM] Mise à jour (7.0.17.0) du Management Pack pour SQL Server 2012 Analysis Services

    Microsoft vient de mettre à jour (7.0.17.0) son Management Pack pour superviser SQL Server 2012 Analysis Services avec System Center 2012 Operations Manager ou plus.

    Il supervise les éléments suivants :

      • Les instances Analysis Services:
        • L’état du service
        • Les conflits de configuration de mémoire avec SQL Server
        • La configuration TotalMemoryLimit
        • L’usage mémoire
        • L’usage mémoire sur le serveur
        • La longueur de la queue Processing Pool Job
        • La longueur de la queue Query Pool
        • L’espace de stockage par défaut disponible
        • L’utilisation CPU
      • Les bases de données Analysis Services
        • L’espace de la base de données disponible
        • La durée du blocage
        • Le nombre de session bloquée
      • Les partitions de base de données Analysis Services
        • L’espace de la partition disponible

    Parmi les modifications dans cette version, on retrouve :

    • Ajout de collections de performances pour les compteurs de performance MDX Query
    • Ajout d'une logique de réessai à certains flux de travail afin de réduire les erreurs "Category does not exist" lancées lorsque WMI ne répond pas
    • Amélioration du traitement des erreurs dans les flux de travail qui surveillent la consommation de mémoire
    • Amélioration des descriptions des événements levés par le Management Pack pour faciliter la compréhension de la cause des erreurs
    • Correction des tâches Start/Stop
    • Correction du problème lorsque "SQLServerInstalled" était défini à "False" si la version de SQLServer DB Engine était supérieure à la version de l’instance SSAS
    • Mise à jour des tableaux de bord de configuration pour afficher les tuiles des nouvelles collections de performance MDX
    • Mise à jour des chaines d’affichage

    Télécharger System Center Management Pack for SQL Server 2012 Analysis Services

    • 7/7/2019

    [SCOM] Mise à jour (7.0.17.0) du Management Pack pour SQL Server 2008 Analysis Services

    Microsoft vient de mettre à jour (7.0.17.0) son Management Pack pour superviser SQL Server 2008 Analysis Services avec System Center 2012 Operations Manager ou plus.

    Il supervise les éléments suivants :

      • Les instances Analysis Services:
        • L’état du service
        • Les conflits de configuration de mémoire avec SQL Server
        • La configuration TotalMemoryLimit
        • L’usage mémoire
        • L’usage mémoire sur le serveur
        • La longueur de la queue Processing Pool Job
        • La longueur de la queue Query Pool
        • L’espace de stockage par défaut disponible
        • L’utilisation CPU
      • Les bases de données Analysis Services
        • L’espace de la base de données disponible
        • La durée du blocage
        • Le nombre de session bloquée
      • Les partitions de base de données Analysis Services
        • L’espace de la partition disponible

    Parmi les modifications dans cette version, on retrouve :

    • Ajout de collections de performances pour les compteurs de performance MDX Query
    • Ajout d'une logique de réessai à certains flux de travail afin de réduire les erreurs "Category does not exist" lancées lorsque WMI ne répond pas
    • Amélioration du traitement des erreurs dans les flux de travail qui surveillent la consommation de mémoire
    • Amélioration des descriptions des événements levés par le Management Pack pour faciliter la compréhension de la cause des erreurs
    • Correction des tâches Start/Stop
    • Correction du problème lorsque "SQLServerInstalled" était défini à "False" si la version de SQLServer DB Engine était supérieure à la version de l’instance SSAS
    • Mise à jour des tableaux de bord de configuration pour afficher les tuiles des nouvelles collections de performance MDX
    • Mise à jour des chaines d’affichage

    Télécharger System Center Management Pack for SQL Server 2008 Analysis Services

    • 6/7/2019

    [SCOM] Mise à jour (7.0.17.0) du Management Pack pour SQL Server 2016 Analysis Services

    Microsoft vient de mettre à jour (7.0.17.0) son Management Pack pour superviser SQL Server 2016 Analysis Services avec System Center 2012 Operations Manager ou plus.

    Il supervise les éléments suivants :

      • Les instances Analysis Services:
        • L’état du service
        • Les conflits de configuration de mémoire avec SQL Server
        • La configuration TotalMemoryLimit
        • L’usage mémoire
        • L’usage mémoire sur le serveur
        • La longueur de la queue Processing Pool Job
        • La longueur de la queue Query Pool
        • L’espace de stockage par défaut disponible
        • L’utilisation CPU
      • Les bases de données Analysis Services
        • L’espace de la base de données disponible
        • La durée du blocage
        • Le nombre de session bloquée
      • Les partitions de base de données Analysis Services
        • L’espace de la partition disponible

     

    Parmi les modifications dans cette version, on retrouve :

    • Ajout de collections de performances pour les compteurs de performance MDX Query
    • Ajout d'une logique de réessai à certains flux de travail afin de réduire les erreurs "Category does not exist" lancées lorsque WMI ne répond pas
    • Amélioration du traitement des erreurs dans les flux de travail qui surveillent la consommation de mémoire
    • Amélioration des descriptions des événements levés par le Management Pack pour faciliter la compréhension de la cause des erreurs
    • Correction des tâches Start/Stop
    • Correction du problème lorsque "SQLServerInstalled" était défini à "False" si la version de SQLServer DB Engine était supérieure à la version de l’instance SSAS
    • Mise à jour des tableaux de bord de configuration pour afficher les tuiles des nouvelles collections de performance MDX
    • Mise à jour des chaines d’affichage

    Télécharger System Center Management Pack for SQL Server 2016 Analysis Services

    • 6/7/2019

    [SCOM] Mise à jour (7.0.17.0) du Management Pack pour SQL Server 2014 Analysis Services

    Microsoft vient de mettre à jour (7.0.17.0) son Management Pack pour superviser SQL Server 2014 Analysis Services avec System Center 2012 Operations Manager ou plus.

    Il supervise les éléments suivants :

      • Les instances Analysis Services:
        • L’état du service
        • Les conflits de configuration de mémoire avec SQL Server
        • La configuration TotalMemoryLimit
        • L’usage mémoire
        • L’usage mémoire sur le serveur
        • La longueur de la queue Processing Pool Job
        • La longueur de la queue Query Pool
        • L’espace de stockage par défaut disponible
        • L’utilisation CPU
      • Les bases de données Analysis Services
        • L’espace de la base de données disponible
        • La durée du blocage
        • Le nombre de session bloquée
      • Les partitions de base de données Analysis Services
        • L’espace de la partition disponible

     

    Parmi les modifications dans cette version, on retrouve :

    • Ajout de collections de performances pour les compteurs de performance MDX Query
    • Ajout d'une logique de réessai à certains flux de travail afin de réduire les erreurs "Category does not exist" lancées lorsque WMI ne répond pas
    • Amélioration du traitement des erreurs dans les flux de travail qui surveillent la consommation de mémoire
    • Amélioration des descriptions des événements levés par le Management Pack pour faciliter la compréhension de la cause des erreurs
    • Correction des tâches Start/Stop
    • Correction du problème lorsque "SQLServerInstalled" était défini à "False" si la version de SQLServer DB Engine était supérieure à la version de l’instance SSAS
    • Mise à jour des tableaux de bord de configuration pour afficher les tuiles des nouvelles collections de performance MDX
    • Mise à jour des chaines d’affichage

    Télécharger System Center Management Pack for SQL Server 2014 Analysis Services

    • 5/7/2019

    [RDS] De la documentation sur les valeurs supportées dans les fichiers RDP

    Microsoft a publié une page dans la documentation visant à résumer l’ensemble des valeurs supportées dans les fichiers Remote Desktop Protocol (RDP) utilisés par le client Remote Desktop pour se connecter à distance.

    Parmi les valeurs, on retrouve :

    • alternate full address:s:valeur
    • alternate shell:s:valeur
    • audiocapturemode:i:valeur
    • audiomode:i:valeur
    • authentication level:i:valeur
    • autoreconnection enabled:i:valeur
    • bandwidthautodetect:i:valeur
    • compression:i:valeur
    • desktop size id:i:valeur
    • desktopheight:i:valeur
    • desktopwidth:i:valeur
    • disableclipboardredirection:i:valeur
    • disableconnectionsharing:i:valeur
    • disableprinterredirection:i:valeur
    • domain:s:valeur
    • drivestoredirect:s:valeur
    • enablecredsspsupport:i:valeur
    • full address:s:valeur
    • gatewaycredentialssource:i:valeur
    • gatewayhostname:s:valeur
    • gatewayprofileusagemethod:i:valeur
    • gatewayusagemethod:i:valeur
    • networkautodetect:i:valeur
    • promptcredentialonce:i:valeur
    • redirectclipboard:i:valeur
    • redirectdrives:i:valeur
    • redirectprinters:i:valeur
    • redirectsmartcards:i:valeur
    • remoteapplicationcmdline:s:valeur
    • remoteapplicationexpandcmdline:i:valeur
    • remoteapplicationexpandworkingdir
    • remoteapplicationfile:s:valeur
    • remoteapplicationicon:s:valeur
    • remoteapplicationmode:i:valeur
    • remoteapplicationname:s:valeur
    • remoteapplicationprogram:s:valeur
    • screen mode id:i:valeur
    • smart sizing:i:valeur
    • use multimon:i:valeur
    • username:s:valeur
    • videoplaybackmode:i:valeur
    • workspaceid:s:valeur

    Plus d’informations sur les valeurs et les descriptions associées : Supported Remote desktop RDP file settings

    • 5/7/2019

    Mise à jour des Drivers et Firmware pour le Surface Pro LTE (5ème Génération)

    Microsoft vient de mettre à disposition les drivers et firmwares pour Windows 10 pour la Surface Pro LTE 5ème Génération notamment pour supporter Windows 10 1903.

    Télécharger Surface Pro LTE Drivers and Firmware

    • 4/7/2019

    [SCOM 2019] Mise à jour (10.19.1011.0) du Management Pack pour les applications Java JEE

    Microsoft vient de mettre à jour son Management Pack pour la supervision des applications Java JEE et des serveurs Web associés JBOSS, Tomcat, WebLogic, WebSphere. Cette nouvelle version porte le numéro 10.19.1011.0 et apporte le support de SCOM 2019

    Parmi les fonctionnalités, on retrouve :

      • La découverte automatique des serveurs d’application déployés :
        • Tomcat 8
        • Red Hat JBoss 8 (Wildfly 8 +) avec Java 8
        • Jboss EAP 7 avec Java 8
        • WebSphere 8+
        • WebLogic 12c Release 2
        • La supervision de la disponibilité et des performances de ces serveurs d’application
        • La découverte et la supervision des applications déployées sur ces serveurs d’application Java EE.

    On distingue deux modes de supervision :

      • Basic avec la découverte des instances et la supervision basique de l’état de santé
      • Profonde : Dans la majorité des cas, vous devez déployer le client OpenSource BeanSpy sur les serveurs pour assurer une supervision complète comme :
        • Les applications déployées
        • Le nombre de garbage collections par seconde
        • Le temps passé dans le garbage collection
        • L’usage mémoire de la JVM
        • Le nombre de classe chargée dans la JVM
        • Le nombre de threads actifs

     

    Télécharger System Center 2019 Management Pack for JEE Application Servers

    • 4/7/2019

    [SCOM 2016] Mise à jour (5.0.1401.0) Management Pack pour System Center Data Protection Manager est disponible

    Microsoft vient de publier une mise à jour (5.0.1401.0) du Management Pack pour superviser System Center Data Protection Manager (DPM). Cette version apporte le support de System Center 2019 Data Protection Manager (DPM). Il utilise le framework DPM Reporting afin de créer des rapports personnalisés. Ce Management Pack est supporté sur System Center 2016 Operations Manager ou plus. Pour rappel, System Center Operations Manager (SCOM) fait partie de la gamme System Center, il propose une supervision souple et évolutive de l’exploitation au niveau de toute l’entreprise, réduisant la complexité liée à l’administration d’un environnement informatique, et diminuant ainsi le coût d’exploitation. Ce logiciel permet une gestion complète des événements, des contrôles proactifs et des alertes, et assure une gestion des services de bout en bout. Il établit des analyses de tendance et des rapports, et contient une base de connaissances sur les applications et le système.

    Lisez le guide pour implémenter et obtenir plus d’information sur ce qui est supervisé par défaut ou ce qui doit être activé via des overrides.

    Télécharger System Center Management Packs for Data Protection Manager Reporting, Discovery and Monitoring

    • 3/7/2019

    [SCOM 2012 R2+] Mise à jour du Management Pack (1.0.4.0) pour Microsoft Azure Stack

    Microsoft vient de publier une nouvelle version (1.0.4.0) du pack d’administration ou Management Pack (MP) pour Microsoft Azure Stack. Ce Management Pack vient remplacer les précédents pour Windows Azure. System Center Operations Manager (SCOM) fait partie de la gamme System Center, il propose une supervision souple et évolutive de l’exploitation au niveau de toute l’entreprise, réduisant la complexité liée à l’administration d’un environnement informatique, et diminuant ainsi le coût d’exploitation. Ce logiciel permet une gestion complète des événements, des contrôles proactifs et des alertes, et assure une gestion des services de bout en bout. Il établit des analyses de tendance et des rapports, et contient une base de connaissances sur les applications et le système.

    Cette version apporte les éléments suivants :

    • Implémentation des rôles de services applicatifs et des instances de rôles, de la surveillance, de la gestion et du tableau de bord.
    • Ajout d’une tâche Restart Infrastructure Role
    • Implémentation du tableau de bord de sauvegarde
    • Mise en œuvre du tableau de bord Marketplace Management
    • L’alerte en cas d'échec de l'exécution de la mise à jour ne s'affichera que pour la dernière mise à jour.

    Ce management pack fournit les fonctionnalités suivantes :

    • Supervision de la disponibilité de l’infrastructure Azure Stack
    • Découverte à distance et collecte des informations comme les déploiements, les régions, et les alertes.

    Notez que ce Management Pack nécessite System Center 2012 R2 Operations Manager ou ultérieur

    Télécharger System Center Management Pack for Microsoft Azure Stack

    • 2/7/2019

    Mise à jour (Mai 2019) des outils Surface pour les ITs

    Microsoft vient de publier une mise à jour des outils Surface à destination des ITs pour déployer, gérer et sécuriser les périphériques Surface dans l’entreprise. On retrouve notamment :

    • Cisco EAP Supplicant Installer
    • Surface Diagnostics App Console v2.36.139.0
    • Surface Asset Tag
    • Surface Brightess Control v1.12.139.0
    • Surface Data Eraser v3.7.137.0 pour effacer de manière sécurisée les données des Surface.
    • Surface Deployment Accelerator v2.24.136.0 permet de facilement déployer une image Windows sur des Surface.
    • Surface Diagnostic Toolkit v2.36.139.0 fournit des outils pour tester le matériel.
    • Surface Dock Updater v2.23.139.0 permet de mettre à jour le Dock.
    • Surface UEFI Configurator v2.26.136.0.
    • Surface UEFI Manager v2.26.136.0
    • Surface WOL

    Télécharger Surface Tools for IT

    • 1/7/2019

    [SCCM CB] Une série de vidéos sur les solutions P2P pour optimiser la récupération du contenu (PeerCache & BranchCache)

    Microsoft a publié trois vidéos présentant les différentes options de Peer-to-peer (P2P) présentes avec System Center Configuration Manager. Ces solutions de caching permettent d’optimiser la récupération du contenu à travers un WAN ou LAN en échangeant du contenu entre les clients locaux. On retrouve notamment les technologies : Peer Cache, BranchCache, etc.

    Pour voir les vidéos :

    • 30/6/2019

    [Intune] Problème connu avec la gestion des dépenses télécom (Telecom Expense Management) et Android Enterprise

    Microsoft vient de communiquer un problème qui touche Microsoft Intune avec la solution de la gestion des dépenses télécom (Telecom Expense Management) de Saaswedo et Android Enterprise. Microsoft vient de communiquer que si le périphérique est enregistré en mode Android for Work / Android Enterprise avec Work Profile, il n’est pas possible de désactiver l’itinérance des données après avoir été notifié par Datalert.

    Le message a été envoyé aux clients qui utilisent la solution Datalert de Saaswedo.

    Microsoft recommande de repousser l’usage d’Android Enterprise Work Profile pour l’instant et de rester sur le mode Android Legacy.

    En effet, la possibilité de désactiver l'itinérance des données n'est pas indiquée par Google comme paramètre pris en charge pour les Work Profile et peut donc ne pas être configurable par Intune. Microsoft évalue actuellement s'il existe d'autres solutions.

    • 29/6/2019

    [OneDrive] Monter automatiquement les sites d’équipe SharePoint sur OneDrive

    A l’occasion de la SharePoint Conference, Microsoft a enfin délivré la fonctionnalité permettant au client OneDrive de monter automatiquement les sites d’équipe SharePoint pour l’utilisateur. Ceci se fait au travers du paramétrage de GPO : Configure team site libraries to sync automatically.

    Une fois déployé, le client de synchronisation OneDrive synchronisera automatiquement le contenu de la bibliothèque partagée en tant que fichiers en ligne uniquement la prochaine fois que l'utilisateur se connecte et dans une fenêtre de 8 heures pour aider à distribuer la charge réseau.

    Une fois configuré, l'utilisateur ne pourra pas arrêter la synchronisation de la bibliothèque partagée à moins que la stratégie ne soit désactivée.

    Si vous désactivez la stratégie, cette dernière ne démontera pas la bibliothèque partagée, mais l'option d'arrêter la synchronisation de la bibliothèque sera disponible pour les utilisateurs.

    Parmi les prérequis à la prise en compte du paramétrage :

    • Vous devez utiliser à minima Windows 10 1709 pour appliquer ce paramétrage.
    • Il ne s’applique qu’aux site SharePoint Online (non On-Premises)
    • La fonctionnalité OneDrive Files On-Demand doit être activée.
    • La fonctionnalité n’est pour l’instant disponible que pour le Ring Insiders (Windows ou Office).

    Plus d’informations

    • 28/6/2019

    Publication de la version de Juin 2019 d’Azure Data Studio

    Microsoft publie une nouvelle version (Juin 2019) d’Azure Data Studio, précédemment connu sous le nom SQL Operations Studio. Azure Data Studio offre une expérience d'éditeur moderne avec IntelliSense, des extraits de code, l'intégration du contrôle des sources et un terminal intégré.

    Les utilisateurs passent de plus en plus de temps à travailler sur l'édition des requêtes que sur toute autre tâche avec SQL Server Management Studio. Pour cette raison, Azure Data Studio a été conçu pour se concentrer en profondeur sur les fonctionnalités les plus utilisées, avec des expériences supplémentaires disponibles comme des extensions optionnelles. Cela permet à chaque utilisateur de personnaliser son environnement comme il utilise le plus souvent.

    Cette version intègre les changements suivants :

    • Publication de l’extension Central Management Servers : Les Central Management Servers stockent une liste d'instances de SQL Server qui est organisée en un ou plusieurs groupes de serveurs de gestion centralisée. Les utilisateurs peuvent se connecter à leurs propres serveurs CMS existants et gérer leurs serveurs comme ajouter et supprimer des serveurs.
    • Publication des extensions de l'outil d'administration des bases de données pour Windows :  Cette extension donne accès à deux des workflows les plus utilisées dans SQL Server Management Studio. Les utilisateurs peuvent cliquer avec le bouton droit de la souris sur de nombreux objets différents (tels que Bases de données, Tables, Colonnes, Vues, etc.) et sélectionner Propriétés pour afficher le dialogue Propriétés SSMS pour cet objet. De plus, les utilisateurs peuvent faire un clic droit sur une base de données et sélectionner Générer des scripts pour lancer l'assistant de génération de scripts SSMS bien connu.
    • Amélioration de la comparaison de schéma :
      • Ajout des options Exclude/Include
      • Generate Script ouvre le script après avoir été généré
      • Suppression des barres de défilement doubles
      • Amélioration du formatage et de la mise en page
    • Lorsque les utilisateurs exécutaient des requêtes SQL, les résultats et les messages se trouvaient sur des panneaux empilés. Maintenant ils sont dans des onglets séparés dans un panneau comme dans SSMS.
    • Améliorations de SQL Notebook :
      • Les utilisateurs peuvent maintenant choisir d'utiliser leurs propres installations Python 3 ou Anaconda dans leurs notebooks.
      • Améliorations multiples de la stabilité + corrections
    • Corrections de bugs

     

    Quand utiliser Azure Data Studio ?

    • Vous devez utiliser macOS ou Linux
    • Vous devez vous connecter sur un cluster big data SQL Server 2019
    • Vous passez plus de temps à éditer ou exécuter des requêtes
    • Vous voulez de visualiser rapidement des graphiques et de visualiser des ensembles de résultats
    • Vous avez un besoin minimal d’assistants
    • Vous n'avez pas besoin de faire de configuration administrative profonde

    Quand utiliser SQL Server Management Studio ?

    • Vous passez la plupart de votre temps à des tâches d'administration de bases de données.
    • Vous avez besoin de faire une configuration administrative importante
    • Vous effectuez la gestion de la sécurité, y compris la gestion des utilisateurs, l'évaluation des vulnérabilités et la configuration des éléments de sécurité.
    • Vous utilisez les rapports pour SQL Server Query Store
    • Vous devez faire des optimisations de la performance et utiliser des tableaux de bord
    • Vous avez besoin d'accéder aux serveurs enregistrés et de contrôler les services SQL Server sous Windows

    Plus d’informations: https://cloudblogs.microsoft.com/sqlserver/2019/06/06/the-june-release-of-azure-data-studio-is-now-available/

    Pour rappel, ces outils sont disponibles depuis Windows, macOS, et Linux pour permettre de gérer SQL Server, Azure SQL Managed Instance, Azure SQL Database, Azure SQL Data Warehouse, et SQL Server 2019 Big Data Clusters.

    Télécharger Azure Data Studio

    • 28/6/2019

    Nouvelle version 18.1 de SQL Server Management Studio

    SQL Server Management Studio a été décorrélé de l’installation de SQL Server depuis la version 2016, il est maintenant possible de télécharger l’outil séparément. La version 18.1 a été mise à disposition et permet de se connecter de SQL Server 2008 à SQL Server 2017.

    Cette nouvelle version apporte :

    • Les diagrammes de base de données sont de retours.
    • Retour de l’outil ssbdiagnose.
    • Les paramétrages Intellisense ne sont plus ignorés
    • Le support de la planification des packages SQL Server Integration Services (SSIS) est désormais disponible dans le catalogue SSIS d'Azure ou dans le système de fichiers d'Azure.
    • Microsoft a corrigé le problème où SSMS sortait immédiatement après l'affichage de l'écran d'accueil (splash screen).
    • Microsoft a également corrigé un problème qui causait l'échec de l'installation du SSMS lorsque le chemin du journal d'installation contenait des espaces. 

    Plus d’informations sur la Release Notes

    Télécharger SQL Server Management Studio (SSMS) 18.1

    • 27/6/2019

    [Intune] Fin de support des versions du SDK Intune App pour iOS inférieures à 8.1.1

    Microsoft a annoncé dans le centre de messages Office 365 (MC181399), la fin de support des applications iOS construites avec le SDK Intune App dont la version est inférieure à 8.1.1. A partir de septembre 2019, vos applications iOS construites avec le SDK Intune devront fonctionner avec une version 8.1.1 ou ultérieure. Ce changement sera effectif avec la sortie d’iOS 13.

    Ce changement concerne donc le SDK Intune App et l’outil d’encapsulation d’applications Intune (App Wrapping Tool). Ces derniers permettent de protéger les données d’entreprises via des fuites vers des applications non approuvées. Les versions 8.1.1 ou ultérieures utilisent des clés de chiffrement 256-bits. Les versions inférieures utilisent des clés 128-bits. A partir de ce moment, les applications créées avec le SDK dont la version est inférieure à 8.1.1 ne seront plus en capacité de partager des données avec des applications créées avec le SDK dont la version est 8.1.1 ou ultérieure.

    Vous devez donc éventuellement republier les applications qui doivent être intégrées avec le SDK 8.1.1 ou ultérieur.

    Pour les applications Microsoft ou tierces, vous devez vous assurer de déployer la dernière version à vos utilisateurs.

    Plus d’informations sur : https://docs.microsoft.com/en-us/intune/apps-prepare-mobile-application-management

    • 26/6/2019

    [Intune/Azure AD] Comment réaliser de l’Hybrid Azure AD Join ou utiliser Microsoft Intune avec un proxy ?

    Les Proxys… Cet article s’attache à retranscrire plusieurs heures de dépannage pour utiliser les différents services/mécanismes Cloud proposés par Microsoft lorsqu’un proxy est utilisé à l’intérieur de l’entreprise. Parmi les services et mécanismes abordés, on retrouve :

    • La jointure hybride à Azure Active Directory (Hybrid Azure AD Join)
    • La jointure à Azure Active Directory (Azure AD Join)
    • L’utilisation de Microsoft Intune dont :
      • L’enregistrement (automatique via la fonctionnalité Azure AD/GPO ou manuel) dans Microsoft Intune
      • La récupération des stratégies par Microsoft Intune
      • Le téléchargement/déploiement d’applications universelles/modernes issues du Microsoft Store
      • Le téléchargement/déploiement d’applications au format MSI via le canal MDM
      • Le téléchargement/installation de l’extension Intune Management Extension (aussi appelé SideCar) utilisées pour installer des applications Win32 ou exécuter des scripts PowerShell
      • Le téléchargement/déploiement d’applications Win32 via l’Intune Management Extension (aussi appelé SideCar).
    • Le téléchargement/l’installation des mises à jour de sécurité ou des mises à niveau de Windows 10 via Windows Update/Windows Update for Business.

    Avant d’aller plus loin dans cet article, je tenais à rappeler qu’il existe différentes architectures de proxy. Il n’est pas possible à ma connaissance d’utiliser un proxy qui requiert une authentification par utilisateur pour les services plus haut. Cet article s’attache à rendre possible la configuration pour des proxys où l’administrateur permet de configurer des exceptions d’authentification pour certaines URLs.

    La configuration de l’environnement se détaille en deux grandes parties :

    • Configuration des exceptions d’authentification pour certaines URLs sur le proxy en lui-même
    • Configuration locale de la machine pour les différents services utilisés par la gestion moderne.

    Configuration de l’infrastructure (serveur proxy)

    Je ne rentrerais pas dans le détail de la configuration de l’infrastructure et du serveur proxy car les étapes dépendent des proxys utilisés. Néanmoins, cette partie s’attache à détailler les URLs connues (à date du 03-06-2019) pour les différents services :

    Service

    Fonctionnalité

    Usage

    URLs à autoriser

    Service d’activation

    Windows 10 Subscription Activation

    Active Windows 10 avec une licence Microsoft 365

    • https://go.microsoft.com
    • http://go.microsoft.com
    • https://login.live.com
    • http://crl.microsoft.com
    • https://activation.sls.microsoft.com
    • https://validation.sls.microsoft.com
    • https://activation-v2.sls.microsoft.com
    • https://validation-v2.sls.microsoft.com
    • https://displaycatalog.mp.microsoft.com
    • https://displaycatalog.md.mp.microsoft.com
    • https://licensing.mp.microsoft.com
    • https://licensing.md.mp.microsoft.com
    • https://purchase.mp.microsoft.com
    • https://purchase.md.mp.microsoft.com

     

    Azure Active Directory

    Azure AD Join
    Hybrid Azure AD Join

    Utiliser pour créer une relation de confiance/appartenance avec le tenant Azure AD

    • https://login.live.com
    • https://login.microsoftonline.com
    • https://account.live.com 
    • https://signup.live.com
    • https://account.azureedge.net
    • https://secure.aadcdn.microsoftonline-p.com
    • https://enterpriseregistration.windows.net
    • https://EnterpriseEnrollment-s.manage.microsoft.com
    • https://device.login.microsoftonline.com

    Microsoft Intune

    Enregistrement dans Microsoft Intune (Automatique ou manuel)

    Récupération des stratégies Microsoft Intune

    Déploiement d’applications MSI (Canal MDM)

     

    Gestion des périphériques Windows 10

    • https://login.microsoftonline.com
    • https://portal.manage.microsoft.com
    • https://m.manage.microsoft.com
    • https://sts.manage.microsoft.com
    • https://Manage.microsoft.com
    • http://i.manage.microsoft.com
    • https://r.manage.microsoft.com
    • https://a.manage.microsoft.com
    • http://p.manage.microsoft.com
    • http://EnterpriseEnrollment.manage.microsoft.com
    • http://EnterpriseEnrollment-s.manage.microsoft.com
    • https://portal.fei.msua01.manage.microsoft.com
    • https://m.fei.msua01.manage.microsoft.com
    • https://fef.msua06.manage.microsoft.com
    • https://wip.mam.manage.microsoft.com
    • https://mam.manage.microsoft.com
    • https://enterpriseregistration.windows.net

    Dans le détail, vous retrouvez des URLs plus précises (exemple : fei.msuc05.manage.microsoft.com) correspondant aux sous-services qui peuvent être contactés. Je vous recommande en lieu et place d’utiliser l’URL : *.manage.microsoft.com

    Microsoft Intune Management Extension (Win32 Apps & PowerShell Scripts)

    Installation de l’agent Intune Management Extension

    Déploiement d’applications Win32 via l’Intune Management Extension

    Déploiement d’application Win32 ou de scripts PowerShell

    • https://graph.windows.net
    • https://*.manage.microsoft.com, 
    • https://*.officeconfig.msocdn.com
    • https://config.office.com
    • https://*.azureedge.net

    Note : Delivery Optimization est utilisé par cette fonctionnalité et les URLs associées doivent être autorisées.

    Windows Update / Windows Update for Business

    p

     

    Déploiement de mises à jour logicielles

    • http://windowsupdate.microsoft.com
    • http://*.windowsupdate.microsoft.com
    • https://*.windowsupdate.microsoft.com
    • http://*.update.microsoft.com
    • https://*.update.microsoft.com
    • http://*.windowsupdate.com
    • http://download.windowsupdate.com
    • http://download.microsoft.com
    • http://*.download.windowsupdate.com
    • http://wustat.windows.com
    • http://ntservicepack.microsoft.com
    • https://*.ws.microsoft.com
    • http://*.ws.microsoft.com
    • fs.microsoft.com

    Note : Delivery Optimization est utilisé par cette fonctionnalité et les URLs associées doivent être autorisées.

    Delivery Optimization

    Utilisé par Windows Update for Business & Microsoft Intune Management Extension

    Utilisé pour le téléchargement des binaires et permettre du P2P

    • *.dl.delivery.mp.microsoft.com
    • *.delivery.mp.microsoft.com
    • *.emdl.ws.microsoft.com
    • *.download.windowsupdate.com
    • *.windowsupdate.com
    • *.do.dsp.mp.microsoft.com
    • cs9.wac.phicdn.net
    • tsfe.trafficshaping.dsp.mp.microsoft.com

    Microsoft Store, Microsoft Store for Business

    Déploiement d’applications Microsoft Store

     

    • .md.mp.microsoft.com
    • https://*displaycatalog.mp.microsoft.com
    • login.live.com
    • login.windows.net
    • account.live.com
    • clientconfig.passport.net
    • windowsphone.com
    • https://*.wns.windows.com
    • *.microsoft.com
    • *.s-microsoft.com
    • pti.store.microsoft.com
    • pti.store.microsoft.com.unistore.akadns.net
    • storeedgefd.dsx.mp.microsoft.com
    • markets.books.microsoft.com
    • http://storecatalogrevocation.storequality.microsoft.com
    • https://img-prod-cms-rt-microsoft-com*
    • https://store-images.microsoft.com

    Note : Microsoft publie une page de référence par version de Windows 10 (par exemple pour la version 1903). La liste des URLs est par expérience non exhaustive.

     

    Configuration des machines Windows 10

    Voici un tableau qui résume les différentes configurations à déployer localement pour permettre l’utilisation du service/mécanisme cité. Pour chaque service, vous retrouvez la configuration manuelle nécessaire lors de l’usage d’un proxy ou dans le meilleur des cas la configuration automatique recommandée par Microsoft. La dernière colonne décrit si le service effectue des requêtes directes de résolution de nom DNS externe. En effet, certains clients ne permettent pas la résolution de nom DNS externes par des machines internes (configuration qui requiert la résolution par une requête via le proxy de l’entreprise).

    Service/Mécanisme

    Service sur lequel se repose le téléchargement

    Configuration manuelle nécessaire

    Configuration automatique recommandée

    Requête directe de résolution de nom DNS externe

    Log pour dépanner

    Azure Active Directory

    Jointure Azure AD

    N/A

    Proxy Utilisateur (Non détaillé dans cet article car déjà en place lorsqu’un proxy est présent)

    Utilisation de Web Proxy Auto-Discovery (WPAD)

    Non

    Observateur d’événements :

    • Microsoft/Windows/AAD
    • Microsoft/Windows/User Device Registration

    Utilisation de la commande dsregcmd

    Jointure Hybrid Azure AD

    N/A

    Proxy Machine
    +
    Proxy Utilisateur (pour récupérer l'AzureADPrt)

    Utilisation de Web Proxy Auto-Discovery (WPAD)

    Non

    Observateur d’événements :

    • Microsoft/Windows/AAD
    • Microsoft/Windows/User Device Registration

    Utilisation de la commande dsregcmd

    Microsoft Intune

    Enregistrement dans Microsoft Intune (Automatique ou manuel)

    Device Management Enrollment Service

    Proxy Machine
    +
    Proxy Utilisateur (pour récupérer l'AzureADPrt)

    Utilisation de Web Proxy Auto-Discovery (WPAD)

    Non

    Observateur d’événements :

    • Microsoft/Windows/AAD
      Microsoft/Windows/User Device Registration
    • Microsoft/Windows/DeviceManagement-Enterprise-Diagnostics-Provider
    • Microsoft/Windows/Provisioning-Diagnostics-Provider
    • Microsoft/Windows/ModernDeployment-Diagnostics-Provider

     

    Commande : mdmdiagnosticstool.exe -area DeviceEnrollement -cab c:\temp\ DeviceEnrollement.cab

    Récupération des stratégies Microsoft Intune

    N/A

    Proxy Machine

    Utilisation de Web Proxy Auto-Discovery (WPAD)

    Non

    Observateur d’événements :

    • Microsoft/Windows/DeviceManagement-Enterprise-Diagnostics-Provider
    • Microsoft/Windows/Provisioning-Diagnostics-Provider

     

    Commande : mdmdiagnosticstool.exe -area DeviceProvisioning -cab c:\temp\ DeviceEnrollement.cab

    Déploiement d’applications Microsoft Store

    N/A

    Proxy Machine
    +
    Proxy BITS pour le compte LocalSystem

    Utilisation de Web Proxy Auto-Discovery (WPAD)

    Non

    Observateur d’événements :

    • Microsoft/Windows/DeviceManagement-Enterprise-Diagnostics-Provider
    • Microsoft/Windows/AppXDeployment & AppXDeployment-Server

    Déploiement d’applications MSI (Canal MDM)

    N/A

    Proxy Machine
    +
    Proxy BITS pour le compte LocalSystem

    Utilisation de Web Proxy Auto-Discovery (WPAD)

    Non

    Observateur d’événements : Microsoft/Windows/DeviceManagement-Enterprise-Diagnostics-Provider

    Installation de l’agent Intune Management Extension

    N/A

    Proxy Machine
    +
    Proxy BITS pour le compte LocalSystem

    Utilisation de Web Proxy Auto-Discovery (WPAD)

    Non

    Observateur d’événements : Microsoft/Windows/DeviceManagement-Enterprise-Diagnostics-Provider

    C:\ProgramData\Microsoft\IntuneManagementExtension\Logs\IntuneManagementExtension.log

    Déploiement d’applications Win32 via l’Intune Management Extension

    Delivery Optimization (DO) 1

    Proxy Machine
    +
    Proxy BITS pour le compte LocalSystem
    +
    Proxy BITS pour le compte NetworkService

    Utilisation de Web Proxy Auto-Discovery (WPAD)

    Oui

    C:\ProgramData\Microsoft\IntuneManagementExtension\Logs\IntuneManagementExtension.log

    Windows Update for Business / Microsoft Update

    Installation des mises à jour Windows 10

    Delivery Optimization (DO) 1

    Proxy Machine
    +
    Proxy BITS pour le compte LocalService
    +
    Proxy BITS pour le compte NetworkService

    Utilisation de Web Proxy Auto-Discovery (WPAD)

    Oui

    Observateur d’événements : Microsoft/Windows/WindowsUpdateClient

    Get-WindowsUpdateLog

     

    1 Les services qui font appel à Delivery Optimization sont soumis aux contraintes de ce dernier. Le proxy de l’entreprise doit supporter des requêtes de type byte-range requests et permettre la résolution de requêtes DNS pour des noms de domaine externes.

    Note : La liste est bien entendu non exhaustive et correspond à des services que j’ai eu l’occasion d’essayer.

    La méthode principalement recommandée par Microsoft est l’utilisation du protocole Web Proxy Auto-Discovery (WPAD) pour la découverte dynamique du proxy. C’est notamment la seule solution pour utiliser Windows Autopilot (non abordé dans cet article) dans des environnements proxyfiés.
    Pour utiliser cette méthode, je vous renvoie vers Internet où des articles décrivent plutôt bien cette méthode.

    L’objet de cet article est plutôt la mise en œuvre de la configuration manuelle et nous aborderons chacune des configurations.
    Note : Je vous recommande de faire des tests sur une ou plusieurs machines avant de déployer globalement ces configurations.

     

    Proxy Machine

    Le proxy machine est la configuration la plus commune et la plus simple à réaliser. Il doit être configuré pour presque tous les mécanismes cités dans le tableau.

    Pour afficher la configuration, la commande suivante doit être utilisée : netsh winhttp show proxy

    Ce dernier se configure manuellement via la commande suivante :
    netsh winhttp set proxy <proxy>:<port> "<Liste d’exclusion, séparée par des ";">"
    Exemple : netsh winhttp set proxy proxy.corp.local:8282 "192.168.*;corp.local"


    Pour importer la configuration réalisée sur Internet Explorer, vous pouvez exécuter la commande : netsh winhttp import proxy source=ie
    Pour réinitialiser le proxy, vous pouvez utiliser la commande : netsh winhttp reset proxy

    Si vous souhaitez opérer la configuration par GPO, vous pouvez utiliser les Group Policy Preference (GPP) en procédant à la création de la valeur de registre associée.

    1. Vous devez donc manuellement configurer le proxy sur une machine test
    2. Utiliser ensuite cette machine test pour récupérer la valeur de la clé :
      • Emplacement : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections
      • Nom : WinHttpSettings
      • Type : Binary
    3. Ouvrez la console GPMC et procéder à la création d’une GPO. Nommez la GPO
    4. Editez la GPO et naviguez dans Computer Configuration – Preferences – Windows Settings – Registry.
    5. Choisissez New puis Registry Item.
    6. Dans le champ Action, choisissez Update puis cliquez sur le bouton avec les … à droite du chemin de la clé.
    7. Naviguez et sélectionnez la clé sur la machine de test. Ceci vous récupère le chemin, la ruche, la valeur, le type de valeur et la donnée binaire associée.
    8. Cliquez sur OK.
    9. Procédez ensuite au déploiement de la GPO et validez la configuration sur une autre machine de test via la commande netsh winhttp show proxy

    Plus d’informations sur ce billet qui décrit bien la configuration : WinHTTP Proxy Settings deployed by GPO

     

    Proxy du service BITS

    Le proxy du service BITS est utilisé par les comptes de service pour effectuer des opérations de téléchargement. Les configurations dépendent du mécanisme ou de la fonctionnalité et du compte de service avec lequel s’exécute le service associé.
    On retrouve donc la capacité de configurer le proxy BITS pour les comptes :

    • LOCALSYSTEM
    • NETWORKSERVICE
    • LOCALSERVICE

    Pour connaître les configurations à réaliser pour le mécanisme/la fonctionnalité choisi, vous pouvez vous référer au tableau.

    Pour afficher la configuration, la commande suivante doit être utilisée :
    bitsadmin /UTIL /GETIEPROXY <COMPTE DE SERVICE>

    Ce dernier se configure manuellement via la commande suivante :

    bitsadmin /Util /SetIEProxy <COMPTE DE SERVICE> MANUAL_PROXY <proxy>:<port> "<Liste d’exclusion, séparée par des ";">"
    Exemples :

    • bitsadmin /Util /SetIEProxy LOCALSYSTEM MANUAL_PROXY proxy.corp.local:8282 "192.168.*;corp.local"
    • bitsadmin /Util /SetIEProxy NETWORKSERVICE MANUAL_PROXY proxy.corp.local:8282 "192.168.*;corp.local"

     

    Pour réinitialiser le proxy, vous pouvez utiliser la commande :
    bitsadmin /Util /SetIEProxy <COMPTE DE SERVICE> AUTODETECT

    Exemples :

    • bitsadmin /Util /SetIEProxy NETWORKSERVICE AUTODETECT
    • bitsadmin /Util /SetIEProxy LOCALSYSTEM AUTODETECT

    Plus d’informations sur la commande dans la documentation.

    Si vous souhaitez opérer la configuration par GPO, vous pouvez aussi utiliser les Group Policy Preference (GPP) en procédant à la création de la valeur de registre associée.

    1. Vous devez donc manuellement configurer le proxy BITS pour les comptes souhaités sur une machine test
    2. Utiliser ensuite cette machine test pour récupérer la valeur de la clé :

    Compte de service

    Emplacement de la clé

    Nom de la valeur

    Type de valeur

    LocalSystem

    HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connection

    DefaultConnectionSettings

    Binary

    NetworkService

    HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections

    DefaultConnectionSettings

    Binary

    LocalService

    HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections

    DefaultConnectionSettings

    Binary

     

    1. Ouvrez la console GPMC et procéder à la création d’une GPO. Nommez la GPO
    2. Editez la GPO et naviguez dans Computer Configuration – Preferences – Windows Settings – Registry.
    3. Choisissez New puis Registry Item.
    4. Dans le champ Action, choisissez Update puis cliquez sur le bouton avec les … à droite du chemin de la clé.
    5. Naviguez et sélectionnez la clé sur la machine de test. Ceci vous récupère le chemin, la ruche, la valeur, le type de valeur et la donnée binaire associée.
    6. Répétez l’opération à partir de l’étape 5 pour les comptes de service que vous ciblez en fonction des fonctionnalités.
    7. Cliquez sur OK.
    8. Procédez ensuite au déploiement de la GPO et validez la configuration sur une autre machine de test via la commande bitsadmin /UTIL /GETIEPROXY <COMPTE DE SERVICE>

     

    Environnement sans résolution de nom DNS externe

    Certains environnements ne permettent pas la résolution de nom DNS externes directement via des requêtes DNS. Le seul moyen de sortir sur Internet s’effectue via le proxy et via des requêtes TCP. Ce cas de figure pose des problèmes avec le déploiement d’applications Win32 via l’Intune Management Extension et les mises à jour logicielles via Microsoft Update / Windows Update for Business.

    Vous devez donc configurer un redirecteur conditionnel sur votre infrastructure DNS interne pour permettre le déploiement des applications Win32 et le déploiement des mises à jour logicielles. Le redirecteur conditionnel (conditional forwarder) peut être :

    • Complet pour l’ensemble des noms de domaine
    • Limité aux noms de domaine spécifiés pour les fonctionnalités de déploiement d’applications Win32 via l’Intune Management Extension et les mises à jour logicielles via Microsoft Update / Windows Update for Business (voir mon tableau plus haut)

    Dans un prochain article, je détaillerais comment dépanner et diagnostiquer chacune des fonctionnalités / Services.

    Bonne Configuration !

    • 25/6/2019

    [AIP] Support de TLS 1.2 et fin de support des clients AIP

    Microsoft vient d’annoncer qu’à partir de maintenant, Azure Information Protection ne supporte que TLS 1.2 uniquement. Ceci a un impact sur les clients Azure Information Protection puisque les versions inférieures à 1.4 n’auront plus la capacité de récupérer les stratégies à partir du service AIP.

    Ces versions ne sont déjà plus supportées depuis plus d’un an et demi.

    • 24/6/2019

    [Azure AD] Impossible de démarrer l’éditeur de règles de synchronisation d’Azure AD Connect

    Je suis tombé sur un problème assez simple mais qui pourrait vous faire perdre du temps, en voulant éditer les règles de synchronisation d’Azure AD Connect. En ouvrant l’outil Azure AD Connect Synchronization Rules Editor, aucune règle n’est listée. Si vous cliquez sur View Errors, une erreur COM est renvoyée :

    Retrieving the COM class factory for remote component with CLSID {835BEE60-8731-4159-8BFF-941301D76D05} from machine AAD failed due to the following error: 80070005 AAD.

    at System.Management.Automation.Internal.PipelineProcessor.SynchronousExecuteEnumerate(Object input, Hashtable errorResults, Boolean enumerate)

    at System.Management.Automation.Runspaces.LocalPipeline.InvokeHelper()

    at System.Management.Automation.Runspaces.LocalPipeline.InvokeThreadProc()

     

    Si vous creusez dans le journal d’événements System, vous pouvez voir un problème de permissions Local Activation.

    Vérifiez donc que vous êtes administrateur local de la machine, puis exécutez l’outil Synchronization Rules Editor en tant qu’administrateur pour résoudre le problème.