Jean-Sébastien DUCHENE Blog's

Actualité, Tips, Articles sur l'ensemble des Technologies Microsoft (SCCM/SMS, EMS, Microsoft Intune, Microsoft Azure, Windows 10, SCOM, MDOP...)
    • 19/1/2019

    Nouvelle Preview (1.45.32.0) du client Azure Information Protection

    Microsoft vient de publier une nouvelle Preview (1.45.32.0) du client pour son service Microsoft Azure Information Protection. Parmi les changements, on retrouve :

    • Le scanner Azure Information Protection est maintenant configuré à partir du portail Azure, plutôt qu'en utilisant PowerShell.
    • Si vous effectuez une mise à niveau à partir d'une version finale du scanneur, le processus de mise à niveau est différent des versions précédentes, assurez-vous donc de lire Upgrading the Azure Information Protection scanner. Si vous installez le scanner pour la première fois, plutôt que de le mettre à niveau, consultez la section Deploying the preview version of the Azure Information Protection scanner to automatically classify and protect files..
    • Si vous labelisez et protégez les fichiers en utilisant le cmdlet Set-AIPFileLabel, vous pouvez utiliser le paramètre EnableTracking pour enregistrer le fichier sur le site de suivi des documents.
    • Le scanner Azure Information Protection prend désormais en charge plusieurs bases de données de configuration sur la même instance de serveur SQL lorsque vous spécifiez un nom de profil.
    • Support des types d'informations sensibles suivants qui aident à identifier les informations d'identification dans les documents et les e-mails :
      • Azure Service Bus Connection String
      • Azure IoT Connection String
      • Azure Storage Account
      • Azure IAAS Database Connection String and Azure SQL Connection String
      • Azure Redis Cache Connection String
      • Azure SAS
      • SQL Server Connection String
      • Azure DocumentDB Auth Key
      • Azure Publish Setting Password
      • Azure Storage Account Key (Generic).
    • Les types d'informations sensibles suivants ne sont plus pris en charge pour les labels que vous configurez pour la classification recommandée ou automatique :
      • Numéro de téléphone de l'UE
      • Coordonnées GPS de l'UE
    • Comme le scanner Azure Information Protection est configuré depuis le portail Azure, les cmdlets suivants sont désormais obsolètes et ne peuvent pas être utilisés pour configurer les référentiels de données ou la liste des types de fichiers : Add-AIPScannerRepository, Add-AIPScannerScannedFileTypes, Get-AIPScannerRepository, Remove-AIPScannerRepository, Remove-AIPScannerScannedFileTypes, Set-AIPScannerRepository, Set-AIPScannerScannedFileTypes
    • Une nouvelle cmdlet PowerShell, Import-AIPScannerConfiguration est disponible, pour les scénarios où le scanner Azure Information Protection ne peut télécharger sa configuration depuis le portail Azure.
    • Le scanner Azure Information Protection n'exclut plus les fichiers.zip par défaut. Pour inspecter et labéliser les fichiers.zip.
    • Les utilisateurs doivent fournir une justification pour définir un label de classification inférieure, supprimer un label ou supprimer la protection ne s'applique plus au scanner. Le scanner exécute ces actions lorsque vous configurez le paramètre Relabel files to On dans le profil du scanner.

     

    On retrouve plusieurs correctifs importants :

    • De nouveaux marquages visuels sont systématiquement appliqués lorsqu'un utilisateur ajoute de nouvelles sections à un document Word, puis relabelise le document.
    • Le client Azure Information Protection supprime correctement la protection d'un document PDF protégé par l'application Rights Management Sharing.
    • Les chemins et les noms de fichiers n'affichent pas de points d'interrogation ( ?) au lieu de caractères non ASCII dans les analyses Azure Information Protection lorsque la locale du système d'exploitation émetteur est en anglais.
    • Les sous-labels sont correctement appliqués par PowerShell et le scanner lorsque le label parent est configuré pour les autorisations définies par l'utilisateur.
    • Le client Azure Information Protection affiche correctement les labels qui ont été appliqués par les clients qui supportent l’unified labeling.
    • Les documents s'ouvrent correctement dans Office sans message de récupération après suppression de la protection par l'Explorateur de fichiers et clic droit, PowerShell et le scanner.


    Télécharger Azure Information Protection Client Preview

    • 19/1/2019

    [SCCM/Intune] De la documentation pour vous expliquer le Co-Management

    Microsoft a publié une nouvelle page dans sa documentation pour montrer les avantages du Co-Management de machines Windows 10 entre System Center Configuration Manager et Microsoft Intune.  Pour rappel, Cette fonctionnalité permet de gérer des périphériques Windows 10 à la fois avec le client ConfigMgr mais aussi en mode moderne avec Microsoft Intune (Standalone). Vous pouvez ainsi choisir quelles sont les fonctionnalités que vous souhaitez gérer avec quel mode (traditionnel ou moderne). Pour l’instant, vous pouvez gérer les stratégies de conformité et les stratégies Windows Update for Business, etc..

    On retrouve des vidéos sur :

    • L’accès conditionnel
    • Les actions à distance depuis Intune
    • L’état de santé des clients
    • L’Hybrid Azure AD
    • Windows Autopilot

     

    Mais aussi des éléments sur :

     

    Lire : Cloud connecting with co-management

    • 18/1/2019

    [Intune] Changement de comportement sur le paramètre de changement de mot de passe pour macOS

    Microsoft vient d’annoncer par le Microsoft Office Center que Microsoft Intune allait intégrer un changement de comportement pour un paramétrage applicable aux machines macOS gérées. Microsoft Intune va donc intégrer le paramétrage « Change Password at Next Auth » introduit par Apple pour les versions de macOS 10.14.2 ou plus.

    Ceci a un impact sur vous si vous avez ou prévoyez d'avoir des périphériques fonctionnants sous macOS 10.14.2 et plus. Intune peut forcer les utilisateurs à mettre à jour leur mot de passe pour qu'il soit conforme lorsqu'une stratégie de mot de passe est appliquée. Vos utilisateurs macOS recevront une demande de mise à jour de leur mot de passe lorsque nous intégrerons cette nouvelle fonctionnalité Apple, même si leur mot de passe est déjà conforme. Notez que si un mot de passe est déjà conforme et que vous n'avez pas d'exigence contre la répétition des mots de passe, les utilisateurs pourront alors mettre à jour leur mot de passe existant.

    Si vous bloquez les ressources de l'entreprise jusqu'à ce que le périphérique soit marqué conforme, sachez que vos utilisateurs finaux sur les périphériques avec macOS 10.14.2 peuvent être bloqués pour accéder aux ressources de l'entreprise telles que les sites de messagerie ou SharePoint jusqu'à ce qu'ils réinitialisent leur mot de passe. À l'avenir, toutes les mises à jour des stratégies de configuration et de conformité des mots de passe obligeront les utilisateurs ciblés à mettre à jour leurs mots de passe.

    Le changement est attendu pour février 2019

    • 18/1/2019

    [Windows 10] Cacher/afficher des mises à jour

    Vous avez peut-être déjà eu le cas d’une mise à jour qui s’installe de manière récurrente ou que vous ne souhaitez tout simplement pas installer. Avec Windows 7, il était possible de cacher des mises à jour depuis le panneau de configuration (Windows Update). Avec Windows 10 et l’applications Paramétrages/Settings, ce n’est plus possible nativement.

    Vous pouvez cependant utiliser la procédure suivante :

    1. Accédez à l’article KB4026726 et téléchargez le dépanneur
    2. Exécutez le fichier.
    3. Passez la première page et laissez la détection s’opérer
    4. Sur l’écran suivant, choisissez si vous souhaitez cacher une mise à jour ou afficher une mise à jour précédemment cachée.

    1. Sélectionnez ensuite la mise à jour que vous souhaitez cacher/afficher

    1. Validez que l’opération a réussi et fermez l’écran final.

    • 17/1/2019

    Nouvelle Preview (1.2019.110.0) de l’outil de packaging MSIX

    Microsoft peaufine son outil de packaging et vient de mettre à disposition une nouvelle préversion (1.2019.110.0) de l’outil de packaging MSIX (MSIX Packing Tool) depuis le Microsoft Store. Cet outil permet de prendre un package d’application Win32 existant et de la convertir au format MSIX. Vous utilisez pour cela une machine de référence pour exécuter l’outil et obtenir le package MSIX que vous pouvez ensuite déployer à la main, par votre outil de télédistribution ou depuis le Microsoft Store.

    Pour rappel, le format MSIX est un nouveau format standardisé lancé par Microsoft pour remplacer l’ensemble des formats de packaging existants tout en bénéficiant des avancés des différentes solutions : Click-To-Run (C2R), App-V, APPX et plus généralement du Framework d’applications universelles (UWP). Il offre donc des mécanismes de conteneurisation et les bénéfices des applications universelles avec une installation, mise à jour et désinstallation aisée sans laisser aucune trace sur le système. Il fournit aussi des mécanismes de sécurisation avancés permettant de valider l’intégrité du code exécuté. Ce format permet aussi de créer des personnalisations pour les applications packagées et de les faire perdurer au travers des différentes mises à jour de l’application.

    Cette préversion ajoute les fonctionnalités :

    • Amélioration du temps de packaging
    • Mise à jour de la liste d'exclusion des fichiers par défaut
    • Intégration des journaux d'erreurs MSIExec dans les outils de rapports
    • Mise à jour des journaux pour ajouter plus de clarté et des étapes de dépannage
    • Ajout du support de la capture d'installation à partir de PowerShell ISE pendant le packaging manuel
    • Ajout du support pour déclarer les scripts PowerShell comme argument d'installation dans l'interface utilisateur et dans le fichier modèle de ligne de commande.
    • Ajout d'un indicateur de journalisation Verbose (--verbose | -v) pour l'interface de ligne de commande
    • Correction d'un problème où les chemins réseau sur la VM étaient parfois inaccessibles
    • Correction d'un problème où la validation des exigences de version du Store échouait lors de l'utilisation de la ligne de commande.
    • Correction d'un problème où les chemins d'accès aux fichiers entre guillemets n'étaient pas acceptés
    • Correction d'un problème où la VM n'était pas nettoyée correctement après la conversion
    • Correction d'un problème où l'ajout de fichiers aux packages dans l'éditeur de packages ne fonctionnait pas correctement
    • Nettoyage de l'interface utilisateur

    Pour accéder à l’outil, vous devez :

    • Participer au programme Windows Insider Fast ou Slow Ring
    • Avoir Windows 10 17701 ou plus
    • Avoir les droits d’administrateur sur la machine
    • Avoir un compte Microsoft pour accéder au Microsoft Store.

    Plus d’informations sur : MSIX Packaging Tool (Preview) is now available from the Microsoft Store

    Plus d'éléments sur le format MSIX sur MSIX Intro

    Télécharger MSIX Packing Tool

    • 17/1/2019

    [Azure] Microsoft répond à vos questions Azure Site Recovery

    Microsoft va proposer un événement de questions/réponses sur le service Azure Site Recovery. Cet évènement aura lieu le mardi 22 janvier de 17h30 à 19h (heure française). Ask Microsoft Anything est une belle opportunité pour poser des questions sur Azure Site Recovery en obtenant une réponse directe. Cette session se tient sur Twitter avec les comptes @AzSiteRecovery ou @AzureSupport avec le hashtag #ASR_AMA.

    Plus d’informations sur : https://azure.microsoft.com/en-us/blog/azure-site-recovery-twitter-ama/  

    • 16/1/2019

    [SQL Server] Un Webinar sur SQL Server 2019

    Microsoft a mis à disposition un webinar sur les nouveautés apportées par SQL Server 2019. Il sera dirigé par Debbi Lyons (Senior Product Marketing Manager), Travis Wright (Principal Program Manager) et Bob Ward (Principal Architect) afin de parler des clusters bit data (Apache Spark et HDFS), de l’amélioration du moteur pour passer moins de temps à personnaliser les requêtes avec un traitement intelligent et enfin le support du langage Java.

    Pour le consulter : https://info.microsoft.com/ww-ondemand-intro-sql-server-2019.html

    Plus d’informations : https://cloudblogs.microsoft.com/sqlserver/2019/01/15/webinar-introduction-to-sql-server-2019/

    • 16/1/2019

    Les nouvelles certifications Microsoft 365 sur la collaboration (MS-300, MS-301 et MS-302)

    Microsoft revoit en profondeur son programme de certifications avec une longue série de nouvelles certifications. Microsoft vient d’annoncer l’arrivée de nouvelles certifications pour Microsoft 365 sur le thème de la collaboration (Teamwork). :

    La certification MS-302: Microsoft 365 Teamwork Administrator Certification Transition permet de faire de transition à partir de la 70-339 Managing Microsoft SharePoint Server 2016

    Voici les différents éléments évalués en détail :

    MS-300: Deploying Microsoft 365 Teamwork

    • Configurer et Gérer SharePoint Online (35-40%)
      • Planifier et configurer les collections de site et sites hub
      • Planifier et configurer les personnalisations et applications
      • Planifier et configurer les métadonnées gérées
      • Planifier et configurer les accès invités
      • Gérer SharePoint Online
      • Gérer la recherche
      • Superviser et maintenir le service SharePoint Online
    • Configurer et Gérer OneDrive for Business (25-30%)
      • Configurer et gérer OneDrive for Business
      • Gérer les utilisateurs et les groupes
      • Gérer le partage et la sécurité
      • Gérer la sécurité de la synchronisation
      • Superviser et maintenir le service OneDrive
    • Configurer et Gérer Teams (20-25 %)
      • Planifier et gérer les paramétrages Teams
      • Planifier l’identité et l’authentification pour Teams
      • Gérer l’environnement Teams
      • Superviser et maintenir le service Teams
    • Configurer et gérer l’intégration des charges de travail (15-20%)
      • Intégrer les charges de travail Microsoft 365
      • Gérer les fonctionnalités de Yammer
      • Gérer les fonctionnalités Stream
      • Intégrer les charges de travail Microsoft 365 avec les systèmes et données externes

    MS-301: Deploying SharePoint Server Hybrid

    • Configurer et Gérer SharePoint On-Premises (55-50%)
      • Planifier une ferme SharePoint
      • Gérer et maintenir une ferme SharePoint
      • Implémenter l’authentification
      • Gérer les collections de site
      • Planifier et configurer Business Connectivity Services (BSC) et Secure Store
      • Planifier et configurer les métadonnées gérées
      • Gérer la recherche
    • Configurer et Gérer les scénarios hybrides (30-35%)
      • Planifier une topologie et configuration hybride
      • Implémenter des artefacts de travail en équipe hybride.
      • Implémenter une application Search Service hybride
      • Implémenter une passerelle de données
    • Migrer vers SharePoint Online (5-10%)
      • Migrer les données et le contenu

     

    Des codes de passage (MS500LibertyHikes) sont disponibles pour les 300 premiers afin de recevoir une réduction de 80%. :

    • MS-300 : MS300Season
    • MS-301 : MS300Rocks
    • MS-302 : MS302TravelKLS

    Les certifications doivent être passées avant le 15 février 2019. 

    Source : https://www.microsoft.com/en-us/learning/community-blog-post.aspx?BlogId=8&Id=375195

    • 15/1/2019

    [AIP] La version 1.41.51.0 du client et du scanneur Azure Information Protection est sur Windows Update

    Microsoft vient de publier la version 1.41.51.0 du client Azure Information Protection sur Windows Update.

    Elle ajoute les éléments suivants :

    • Par défaut, le client Azure Information Protection protège désormais les fichiers PDF en utilisant la norme ISO pour le chiffrement des PDF. Auparavant, vous deviez activer cette prise en charge avec un paramétrage client avancé. Si vous voulez que le client revienne à la protection des fichiers PDF en utilisant une extension de nom de fichier.ppdf, utiliser le même paramètre client avancé, mais spécifier False.
    • Support du reporting central pour la fonctionnalité d'analyse Azure Information Protection annoncée à l'Ignite.
    • Excel supporte désormais également les marquages visuels de différentes couleurs.
    • Pour les déploiements S/MIME existants, un nouveau paramètre client avancé (en préversion) pour configurer un label afin d'appliquer automatiquement la protection S/MIME dans Outlook.
    • Un nouveau paramètre client avancé, comme alternative à l'édition du registre pour empêcher les ouvertures de session pour le service Azure Information Protection pour les ordinateurs déconnectés.

     

    Elle ajoute les correctifs suivants :

    • Le client Azure Information Protection n'exclut plus les extensions de noms de fichiers.msg,.rar et.zip pour les commandes File Explorer (clic droit) et PowerShell. Toutefois, ces extensions de nom de fichier restent exclues par défaut pour le scanner.
    • Le client Azure Information Protection peut déprotéger plusieurs fichiers (multi-sélection et un dossier qui contient des fichiers protégés) lorsque vous utilisez l'Explorateur de fichiers, faites un clic droit.
    • Pour Excel :
      • Des repères visuels sont maintenant appliqués si vous sauvegardez la feuille de calcul pendant l'édition d'une cellule.
      • Excel 2010 : Lorsqu'une feuille de calcul est protégée en utilisant le niveau d'autorisation Co-Author, le bouton Delete Label est maintenant disponible lorsque vous cliquez avec le bouton droit de la souris sur le fichier et choisissez Classify and Protect.
    • Les paramètres avancés du client qui peuvent supprimer les en-têtes et les pieds de page d'autres solutions d'étiquetage prennent désormais en charge les mises en page personnalisées.
    • Lorsque la programmation du scanner est réglée sur Always, il y a maintenant un délai de 30 secondes entre les scans.
    • Le scanner ne modifie plus le propriétaire pour les fichiers qu'il étiquette lorsque le fichier est déjà protégé.

    Télécharger Microsoft Azure Information Protection

    • 15/1/2019

    [SCCM/WSUS] Les synchronisations peuvent échouer de manière intermittente

    Microsoft a publié un article concernant un problème pouvant toucher WSUS en mode autonome ou WSUS couplé à System Center Configuration Manager. Dans ces cas de figures, la synchronisation peut échouer sans raison apparente et de manière aléatoire.

    On retrouve les informations suivantes dans le fichier wsyncmgr.log :

    MM/dd/YYYY HH:mm:ss PM Synchronizing WSUS server contoso1.contoso.com ...

    MM/dd/YYYY HH:mm:ss PM sync: Starting WSUS synchronization

    MM/dd/YYYY HH:mm:ss PM sync: WSUS synchronizing categories

    MM/dd/YYYY HH:mm:ss PM sync: WSUS synchronizing updates

    MM/dd/YYYY HH:mm:ss PM Caught exception: Microsoft.SystemsManagementServer.SoftwareUpdatesManagement.WsusSyncAction.WsysSyncFailedException: ImportUpdateError: ~~ at Microsoft.SystemsManagementServer.SoftwareUpdatesManagement.WsusSyncAction.WSyncAction.SyncWSUS(SyncMode syncMode)~~ at Microsoft.SystemsManagementServer.SoftwareUpdatesManagement.WsusSyncAction.WSyncAction.DoSync()

    MM/dd/YYYY HH:mm:ss PM Sync done. Getting sync info...

    MM/dd/YYYY HH:mm:ss PM Got sync info. NumSynced = 0

    MM/dd/YYYY HH:mm:ss PM Sync failed: ImportUpdateError: . Source: Microsoft.SystemsManagementServer.SoftwareUpdatesManagement.WsusSyncAction.WSyncAction.SyncWSUS

    MM/dd/YYYY HH:mm:ss PM STATMSG: ID=6703 SEV=E LEV=M SOURCE="SMS Server" COMP="SMS_WSUS_SYNC_MANAGER" SYS=CONTOSO1.CONTOSO.COM SITE=NEW PID=3196 TID=7588 GMTDATE=Day Mon dd HH:mm:ss.ssss YYYY ISTR0="Microsoft.SystemsManagementServer.SoftwareUpdatesManagement.WsusSyncAction.WSyncAction.SyncWSUS" ISTR1="ImportUpdateError: " ISTR2="" ISTR3="" ISTR4="" ISTR5="" ISTR6="" ISTR7="" ISTR8="" ISTR9="" NUMATTRS=0

    MM/dd/YYYY HH:mm:ss PM Sync failed. Will retry in 60 minutes

    On retrouve aussi des erreurs dans le fichier SoftwareDistribution.log :

    YYYY-MM-dd HH:mm:ss.sss UTC Error WsusService.42 CatalogSyncAgentCore.GetAndSaveUpdateMetadata 2 update(s) could not be imported into the local db even with retry

    YYYY-MM-dd HH:mm:ss.sss UTC Error WsusService.42 CatalogSyncAgentCore.GetAndSaveUpdateMetadata Bad Update Revision #0: b55a761f-98c3-4e8f-be39-9dcfd35ceefc/201

    YYYY-MM-dd HH:mm:ss.sss UTC Error WsusService.42 CatalogSyncAgentCore.GetAndSaveUpdateMetadata Bad Update Revision #1: e0dd10bf-612b-4524-b382-9655a5ee7d6e/200

    YYYY-MM-dd HH:mm:ss.sss UTC Info WsusService.42 CatalogSyncAgentCore.UpdateSyncResultAndGenerateReportingEvent CatalogSyncThreadProcess: report subscription One or more updates failed to import to local database.

    YYYY-MM-dd HH:mm:ss.sss UTC Info WsusService.42 EventLogEventReporter.ReportEvent EventId=386,Type=Error,Category=Synchronization,Message=Synchronization failed. Reason: System.Data.SqlClient.SqlException (0x80131904): Cannot insert the value NULL into column 'RevisionID', table '@AtLeastOneBundle'; column does not allow nulls. INSERT fails.

    Error loading information from upd:BundledUpdates/upd:AtLeastOne/upd:UpdateIdentity for updateB55A761F-98C3-4E8F-BE39-9DCFD35CEEFC\201. Some update revisions in bundle information are not already present in the database.

    Dans la console WSUS, vous pouvez voir des erreurs de synchronisation avec comme message : A dependency of the update was not found on the server and was not provided by the upstream server.

    La cause principale n’est pas encore connue. Microsoft recommande la réexécution de la synchronisation qui doit pouvoir importer les mises à jour de définition en échec.

    Plus d’informations sur : Windows Server Update Service (WSUS) to Microsoft Update sync fails

    • 14/1/2019

    [Windows 7] Problème d’activation et notifications pour des clients KMS licenciés en volume

    Microsoft a publié un article dans la base de connaissances concernant un problème qui pouvait survenir pour des entreprises utilisant encore Windows 7. Ce dernier concerne l’activation. Des utilisateurs peuvent alors recevoir un message spécifiant que Windows n’est pas original (Windows is not Genuine). Un watermark peut être aussi présent en bas à droite de l’écran pour spécifier que la version n’est pas originale.

    Si vous vérifiez l’état d’activation de la machine via la commande slmgr /dlv, vous pouvez voir :

    Name: Windows(R) 7, Enterprise edition
    Description: Windows Operating System - Windows(R) 7, VOLUME_KMSCLIENT channel
    Activation ID: ae2ee509-1b34-41c0-acb7-6d4650168915
    Application ID: 55c92734-d682-4d71-983e-d6ec3f16059f
    Extended PID: <removed>
    Installation ID: <removed>
    Partial Product Key: HVTHH
    License Status: Notification
    Notification Reason: 0xC004F200 (non-genuine).
    Remaining Windows rearm count: 2
    Trusted time: <removed>
    Please use slmgr.vbs /ato to activate and update KMS client information in order to update values.

    On retrouve l’écriture d’événément 8209, 8208, 13 et 8196 dans le journal d’applications.

    Ceci survient car Microsoft a opéré un changement le 8 janvier à 10h (UTC) puis est revenu sur le changement le 9 janvier à 4h30 (UTC). Pour résoudre le problème, vous devez supprimer la KB 971033 des machines concernées et qui sont équipées des éditions suivantes : Windows 7 Professional, Windows 7 Professional N, Windows 7 Professional E, Windows 7 Enterprise, Windows 7 Enterprise N, et Windows 7 Enterprise E.

    Vous pouvez consulter l’article suivant pour obtenir la procédure à suivre pour désinstaller cette mise à jour sur les machines posant problème : Activation failures and "not genuine" notifications around January 8, 2019, on volume-licensed Windows 7 KMS clients

    • 14/1/2019

    [Intune] Les nouveautés de ce début Janvier 2019

    Microsoft vient d’annoncer la mise à disposition d’un nouvel ensemble de fonctionnalités pour Microsoft Intune.

    Les fonctionnalités suivantes sont ajoutées :

    Enregistrement des périphériques

    • [Général] Des messages d'erreur plus détaillés sont disponibles lorsque les restrictions d’enregistrement ne sont pas respectées. Pour voir ces messages, allez dans Intune > Troubleshoot > et vérifier le tableau Enrollment Failures. Pour plus d'informations, voir la liste des échecs d’enregistrement.

    • [iOS] Passer plus d'écrans de l'assistant de configuration sur un périphérique iOS DEP. En plus des écrans que vous pouvez actuellement ignorer, vous pouvez configurer les périphériques iOS DEP pour qu'ils sautent les écrans suivants dans l'Assistant de configuration lorsqu'un utilisateur enregistre le périphérique : Display Tone, Privacy, Android Migration, Home Button, iMessage & FaceTime, Onboarding, Watch Migration, Appearance, Screen Time, Software Update, SIM Setup. Pour choisir les écrans à sauter, allez dans Device enrollment > Apple enrollment > Enrollment program tokens > choisissez un token > Profiles > choisissez un profil > Properties > Setup Assistant customization > choisissez Hide pour tous les écrans que vous voulez sauter > OK.

     

    Configuration du périphérique

    • [Général] Cette mise à jour inclut le chiffrement des e-mails S/MIME à l'aide d'un nouveau modèle de certificat importé (Device configuration > Profiles > Create profile > sélectionner la plate-forme > Type de profil PKCS imported certificate). Vous pouvez importer des certificats au format PFX. Intune peut alors délivrer ces mêmes certificats à plusieurs périphériques enregistrés par un seul utilisateur. Ceci inclut également :
      • Le profil de messagerie iOS natif prend en charge l'activation du chiffrement S/MIME à l'aide de certificats importés au format PFX.
      • L'application de messagerie native sur les périphériques Windows Phone 10 utilise automatiquement le certificat S/MIME.
      • Les certificats privés peuvent être déployés sur plusieurs plates-formes. Mais toutes les applications de messagerie ne prennent pas en charge S/MIME.
      • Sur d'autres plates-formes, vous devrez peut-être configurer manuellement l'application de messagerie pour activer S/MIME.
      • Les applications de messagerie qui prennent en charge le chiffrement S/MIME peuvent gérer la récupération des certificats pour le chiffrement de messagerie S/MIME d'une manière qu'un MDM ne peut pas prendre en charge, comme la lecture depuis la liste de certificats de leur éditeur. Pour plus d'informations sur cette fonctionnalité, voir l’article suivant.

    • [Windows 10] Public Preview des modèles d’administration (ADMX) pour les périphériques Windows 10. Ces derniers ont été déplacé dans un profil de configuration dédié Device configuration > Administrative templates. Ils ne fournissent pas moins de 300 paramétrages ADMX qui peuvent gérés dans Intune sans avoir à créer des stratégies ADMX-backed. Note : pour l’instant, ces derniers ne s’appliquent qu’en mode autonome. Microsoft travaille pour qu’ils puissent être appliqués sur des machines co-gérés.

    • [Windows 10] Sur les périphériques Windows 10, vous pouvez créer un profil de configuration VPN qui inclut une liste de serveurs DNS pour résoudre les domaines, tels que contoso.com. Cette mise à jour inclut de nouveaux paramètres pour la résolution des noms (Device configuration > Profiles > Create profile > Choisir Windows 10 and later > Choisir VPN pour le type de profil > DNS settings > Add) :
      • Automatically connect : Lorsqu'il est activé, l'appareil se connecte automatiquement au VPN lorsqu'un appareil contacte un domaine que vous entrez, tel que contoso.com.
      • Persistent : Par défaut, toutes les règles de la table Name Resolution Policy (NRPT) sont actives tant que le périphérique est connecté en utilisant ce profil VPN. Lorsque ce paramètre est activé sur une règle NRPT, la règle reste active sur le périphérique, même lorsque le VPN se déconnecte. La règle reste en vigueur jusqu'à ce que le profil VPN soit supprimé ou jusqu'à ce que la règle soit supprimée manuellement, ce qui peut être fait avec PowerShell.

    • [Windows 10] Lorsque vous utilisez la détection de réseau de confiance, vous pouvez empêcher les profils VPN de créer automatiquement une connexion VPN lorsque l'utilisateur est déjà sur un réseau de confiance. Avec cette mise à jour, vous pouvez ajouter des suffixes DNS pour activer la détection d'un réseau de confiance sur les périphériques fonctionnant sous Windows 10 (Device configuration > Profiles > Create profile > Windows 10 and later > VPN).
    • [Wndows 10] Actuellement, vous pouvez configurer les paramètres Shared PC sous Windows 10 et Windows Holographic pour les périphériques d’entreprise en utilisant un paramètre OMA-URI personnalisé. Avec cette mise à jour, un nouveau profil est ajouté pour configurer les paramètres Shared Device (Device configuration > Profiles > Create Profile > Windows 10 and later > Shared multi-user device).

    • [Windows 10] Pour les paramètres de diffusion de mises à jour Windows 10 (Windows 10 Update Rings), vous pouvez configurer :
      • Automatic update behavior : Utilisez une nouvelle option, Reset to default pour restaurer les paramètres de mise à jour automatique d'origine sur une machine Windows 10 1809.
      • Block user from pausing Windows updates : Configurez un nouveau paramètre de mise à jour du logiciel qui vous permet de bloquer ou d'autoriser vos utilisateurs à interrompre l'installation des mises à jour à partir des paramètres de leur ordinateur.

    • [Windows 10] Vous pouvez créer un profil de configuration qui définit les paramètres de gestion de BitLocker sur les périphériques Windows 10 Professional. Plus d’informations sur : Endpoint protection settings for Windows 10.
    • [Windows 10] Cette mise à jour inclut un nouveau paramètre pour gérer la possibilité d’arrêter des processus à l'aide du Gestionnaire de tâches (task manager) sur les périphériques Windows 10. A l'aide d'un profil de configuration de périphérique (Device configuration > Profiles > Create profile > Windows 10 > Device restrictions > General settings), vous choisissez d'autoriser ou de bloquer ce paramètre.

    • [iOS] Vous pouvez créer un profil email qui inclut différents paramètres. Cette mise à jour inclut les paramètres S/MIME qui peuvent être utilisés pour signer et chiffrer les communications électroniques sur les périphériques iOS (Device configuration > Profiles > Create profile > iOS > Email).
    • [iOS] La configuration des périphériques partagés est renommée en Lock Screen Message pour les périphériques iOS dans le portail Azure. Lorsque vous créez un profil de configuration pour les périphériques iOS, vous pouvez ajouter des paramètres de configuration de périphérique partagé pour afficher un texte spécifique sur l'écran de verrouillage. Cette mise à jour comprend les changements suivants :
      • Les paramètres de configuration du périphérique partagé dans le portail Azure sont renommés en "Lock Screen Message (supervised only)" (Device configuration > Profiles > Create profile > iOS > Device features > Lock Screen Message).
      • Lorsque vous ajoutez des messages de verrouillage d'écran, vous pouvez insérer un numéro de série, un nom de périphérique ou une autre valeur spécifique au péripéhrique en tant que variable dans les informations d'Asset tag et Lock screen footnote. Par exemple, vous pouvez entrer le nom du dispositif : {{devicename}}} ou le numéro de série est {{serialnumber}} en utilisant des crochets bouclés. Les listes de tokens iOS disponibles qui peuvent être utilisés.

    • [iOS] Dans Device Configuration > Profiles > Create profile > iOS > Device restrictions > App Store, Doc Viewing, Gaming, les paramètres suivants sont ajoutés :
      • Allow managed apps to write contacts to unmanaged contacts accounts (supervised only)
      • Allow unmanaged apps to read from managed contacts accounts (supervised only)

    • [Android] Cette mise à jour inclut plusieurs nouvelles fonctionnalités sur les péripéhriques Android Enterprise lorsqu'ils fonctionnent en tant que device owner. Pour utiliser ces fonctions, allez dans Device Configuration > Profiles > Create profile > Android Enterprise > Device owner only > Device Restrictions. Les nouvelles fonctionnalités incluent :
      • Désactiver l'affichage des notifications système, y compris les appels entrants, les alertes système, les erreurs système, etc.
      • Suggère de passer les tutoriels de démarrage et les conseils pour les applications qui s'ouvrent pour la première fois.
      • Désactiver les paramètres avancés de la protection du clavier, tels que l'appareil photo, les notifications, le déverrouillage des empreintes digitales, etc.

    • [Android] Dans cette mise à jour, vous pouvez utiliser des connexions VPN permanentes sur les périphériques Android Enterprise en mode device owner. Les connexions VPN toujours actives restent connectées ou se reconnectent immédiatement lorsque l'utilisateur déverrouille son appareil, lorsque l'appareil redémarre ou lorsque le réseau sans fil change. Vous pouvez également mettre la connexion en mode "lockdown", qui bloque tout le trafic réseau jusqu'à ce que la connexion VPN soit active. Vous pouvez activer le VPN Always-on dans Device configuration > Profiles > Create profile > Android enterprise > Device restrictions for Device Owner Only > Connectivity settings.

     

     

    Gestion des applications

    • [Android/iOS] Vous pouvez maintenant configurer le nombre de jours pendant lesquels un utilisateur final peut attendre avant qu’on lui demander de modifier son code PIN d'application Intune. Le nouveau paramètre PIN reset after number of days est disponible en sélectionnant Intune > Client apps > App protection policies > Create Policy > Settings > Access requirements. Cela peut s’appliquer pour les appareils iOS et Android, cette fonctionnalité supporte une valeur entière positive.

    • [Android/iOS] Intune fournit des champs de rapport supplémentaires sur les périphériques, y compris l'Identifiant d'enregistrement de l'application, le fabricant Android, le modèle et la version du correctif de sécurité, ainsi que le modèle iOS. Ces champs sont disponibles en sélectionnant Applications Client apps > App protection status et en choisissant App Protection Report: iOS, Android. De plus, ces paramètres vous aideront à configurer la liste d'autorisation pour le fabricant de l'appareil (Android), la liste d'autorisation pour le modèle de l'appareil (Android et iOS), et le réglage minimum de la version du patch de sécurité Android.

     

    Supervision et Dépannage

    • [Général] Une nouvelle page d’état du tenant fournit des informations détaillées sur votre tenant selon 4 catégories :
      • Tenant Details - Affiche des informations qui comprennent le nom et l'emplacement de votre tenant, votre autorité MDM, le nombre total d'appareils inscrits dans votre tenant et le nombre de licences que vous détenez. Cette section répertorie également la version de service actuelle pour votre tenant.
      • Connector Status - Affiche des informations sur les connecteurs disponibles que vous avez configurés et peut également lister ceux que vous n'avez pas encore activés. En fonction de l'état actuel de chaque connecteur, ils sont marqués comme sains, en avertissement ou en erreur. Sélectionnez un connecteur pour obtenir plus de détails ou configurer des informations supplémentaires à son sujet.
      • Intune Service Health - Affiche des détails sur les incidents ou les pannes actifs pour votre tenant. Les informations contenues dans cette section sont directement extraites de l'Office Message Center.
      • Intune News - Affiche des messages actifs pour votre tenant. Les messages comprennent des éléments tels que les notifications lorsque votre tenant reçoit les dernières fonctionnalités d'Intune. Les informations contenues dans cette section sont directement extraites de l'Office Message Center.

    • [Général] Nouvelle expérience d'aide et de support pour Intune. Cette nouvelle expérience est disponible pour Intune et est accessible en utilisant les tuiles Intune du portail Azure. Cette nouvelle expérience vous permet de décrire votre problème dans vos propres mots et d'obtenir des conseils de dépannage et du contenu de remédiation sur le Web. Ces solutions sont proposées via un algorithme machine learning basé sur des règles, pilotés par les requêtes des utilisateurs. En plus des conseils spécifiques à un problème, vous pouvez utiliser le nouveau workflow de création de ticket pour ouvrir un ticket d'assistance par e-mail ou par téléphone. Cette nouvelle expérience remplace l'expérience précédente d'aide et de support d'un ensemble statique d'options présélectionnées qui sont basées sur la zone de la console dans laquelle vous vous trouvez lorsque vous ouvrez Aide et support.
    • [Windows 10] Nouvelle expérience d'aide et support dans le portail d'entreprise pour Windows 10, aide les utilisateurs à dépanner et à demander de l'aide pour les problèmes d'accès et d'application. À partir de la nouvelle page, ils peuvent envoyer par email les détails du journal des erreurs et du diagnostic et trouver les détails du service d'assistance de leur organisation. Ils trouveront également une section FAQ avec des liens vers la documentation Intune correspondante.

    Sécurité

    • [Général] Vous pouvez créer des scope tags pour limiter l'accès aux rôles et aux applications. Vous pouvez ajouter un scope tag à une application pour que seules les personnes ayant des rôles assignés à ce scope tag aient accès à l'application.

     

    Plus d’informations sur : https://docs.microsoft.com/en-us/intune/whats-new

    • 13/1/2019

    [Intune] Les nouveautés du mois de décembre 2018

    Voici un tour d’horizon des annonces et nouvelles fonctionnalités pour Microsoft Intune pour le mois de décembre 2018. Il y a peu de fonctionnalités car ce mois est principalement dédié aux fêtes de fin d’année.

    Les fonctionnalités suivantes sont ajoutées :

    Enregistrement des périphériques

    • [macOS] Intune nécessite maintenant macOS version 10.12 ou plus. Les périphériques utilisant des versions antérieures de macOS ne peuvent pas utiliser le portail d'entreprise pour s’enregistrer à Intune. Pour recevoir du support et de nouvelles fonctionnalités, les utilisateurs doivent mettre à niveau leur appareil vers macOS 10.12 ou une version ultérieure et mettre à niveau le Portail d'entreprise vers la dernière version.
    • [macOS] Pour continuer à recevoir les mises à jour pour le portail de l'entreprise et d'autres applications Office, les périphériques macOS gérés par Intune doivent être mis à niveau vers Microsoft Auto Update 4.5.0. Les utilisateurs peuvent déjà avoir cette version pour leurs applications Office. 

    Gestion des applications

    • [macOS/iOS] Microsoft Intune supporte Transport Layer Security (TLS) 1.2+ pour fournir un meilleur chiffrement et pour s'assurer que Intune est plus sécurisé par défaut et pour s'aligner avec les autres services Microsoft tels que Microsoft Office 365. Afin de répondre à cette exigence, les portails d'entreprise iOS et macOS appliqueront les exigences mises à jour d'Apple en matière de sécurité du transport des applications (ATS), qui exigent également TLS 1.2+. ATS est utilisé pour appliquer une sécurité plus stricte sur toutes les communications applicatives via HTTPS. Ce changement a un impact sur les clients Intune qui utilisent le portail d’entreprise pour iOS et macOS. Voici des informations supplémentaires.
    • [Android] Le SDK Intune App pour Android utilise désormais des clés de chiffrement 256 bits lorsque le chiffrement est activé par les stratégies de protection d'application. Le SDK continuera à prendre en charge les clés 128 bits pour assurer la compatibilité avec le contenu et les applications qui utilisent les anciennes versions du SDK.

      

    Plus d’informations sur : https://docs.microsoft.com/en-us/intune/whats-new

    • 13/1/2019

    Rollup 25 disponible pour Exchange Server 2010 SP3

    L’équipe Exchange vient de publier le 25ème Rollup (KB4468742) pour Exchange Server 2010 SP3 (version 14.03.0435.000).

    Il corrige la vulnérabilité suivante : Microsoft Common Vulnerabilities and Exposures CVE-2019-0588

    Une vulnérabilité de divulgation d'informations existe lorsque l'API PowerShell de Microsoft Exchange accorde aux contributeurs de calendrier plus de droits d’accès que prévu. Pour exploiter cette vulnérabilité, un attaquant devrait se voir accorder l'accès à un calendrier Exchange par un administrateur via PowerShell. L'attaquant serait alors en mesure d'afficher des détails supplémentaires sur le calendrier qui serait normalement caché.

    La mise à jour de sécurité corrige cette vulnérabilité en modifiant la façon dont l'API PowerShell d'Exchange accorde les permissions aux contributeurs.

    Télécharger Update Rollup 25 For Exchange 2010 SP3 (KB4468742)

    • 10/1/2019

    Les résultats des certifications AZ-301 et AZ-302 passées en Bêta sont en ligne

    Il n’aura fallu attendre que quelques heures. Si vous avez passé les nouvelles certifications Bêta pour Microsoft Azure, Microsoft vient de mettre en ligne les résultats des certifications AZ-301: Microsoft Azure Architect Design et AZ-302 Microsoft Azure Solutions Architect Certification Transition.

    On attend les résultats de la certification DevOps AZ-400 qui a apparemment été ajusté plus en profondeur pour répondre aux enjeux attendus.

    Pour rappel, voici les différents éléments qui sont évalués :

     AZ-301: Microsoft Azure Architect Design

    La certification AZ-302 est celle utilisé pour faire la transition depuis la 70-535. Elle correspond à un condensé de l’AZ-300 et l’AZ-301.

    Note : Les résultats pour les certifications AZ-100, AZ-101, et AZ-102 sont déjà connus depuis plusieurs semaines.

    • 9/1/2019

    Les résultats de la Certification AZ-300 passée en Bêta sont en ligne

    Pour ceux qui sont aventurés à passer les nouvelles certifications Bêta pour Microsoft Azure, Microsoft vient de mettre en ligne les résultats pour la certification AZ-300: Microsoft Azure Architect Technologies. Les résultats pour les certifications AZ-301 et AZ-302 devraient suivre dans les prochains jours.

    Pour rappel, voici les différents éléments qui sont évalués :

    AZ-300: Microsoft Azure Architect Technologies

     

    Note : Les résultats pour les certifications AZ-100, AZ-101, et AZ-102 sont déjà connus depuis plusieurs semaines.

    • 9/1/2019

    [Azure] Microsoft et Citrix annoncent un partenariat avec le support de Windows Virtual Desktop

    A l’occasion de l’Ignite 2018, Microsoft a annoncé l’arrivée de Windows Virtual Desktop, un service de VDI/Bureau à distance hébergé dans Microsoft Azure. Il permet d’héberger des machines virtuelles Windows 10 Enterprise ou Windows 7 SP1 Enterprise (avec support étendu) afin notamment d’exécuter des applications soit pour des problèmes de compatibilité soit pour donner accès à des ressources à distance.  Pour rappel, les entreprises qui ont acheté Windows 10 Enterprise peuvent toutes bénéficier de ce service sans surcout de licences. Le seul coût est au niveau du calcul, du stockage et de la bande passante généré par ces machines virtuelles.

    Aujourd’hui à l’occasion du Citrix Summit, Microsoft annonce un partenariat permettant à Citrix de fournir ce service via la solution Citrix Cloud hébergée sur Microsoft Azure. Cela signifie que les clients Citrix pourront obtenir les mêmes droits d’accès à Windows 10 Enterprise (multisessions) ou Windows 7 SP1 Enterprise (avec support étendu) avec les offres Citrix Workspace, Citrix Virtual App (anciennement XenApp) et Citrix Desktops (Anciennement XenDesktop) service. Outre l’accès au service pour les offres citées, on attend que Citrix fournisse des fonctionnalités de gestion intégrées à ses propres solutions

    La Preview est attendue pour la fin du premier semestre 2019.

    • 8/1/2019

    [Intune] Erreur de profile lors de l’enregistrement de périphériques iOS avec Apple Configurator

    L’équipe du support Microsoft Intune a publié un billet à propos d’un problème lorsque vous suivez le document expliquant l’enregistrement de périphériques iOS avec Apple Configurator. Dans ce cas, vous recevez l’erreur suivante : “Invalid Profile: The configuration for your iPad/iPhone could not be downloaded from [Entreprise]” error after accepting “Apply configuration

    Dans ce cas de figure, l’URL d’enregistrement pour le serveur MDM créé avec Apple Configurator n’est pas résolu avec succès ou a été éditer manuellement. Une URL valide commence par : https://manage.microsoft.com/EnrollmentServer/Discovery.svc/iOS/ESProxy? Alors que l’URL invalide est https://appleconfigurator2.manage.microsoft.com/MDMServiceConfig?. Cette dernière est l’URL originelle du profil copié à partir de la console Intune pour l’enregistrement via Setup Assistant.

    Comme solution de contournement, Microsoft recommande le remplacement de la portion de l’URL non valide avec celle qui est valide sur l’ordinateur mac et de préparer à nouveau le périphérique.

    Microsoft travaille sur une correction.

    Plus d’informations sur : Known Issue: Profile error enrolling iOS devices with Apple Configurator

    • 8/1/2019

    Une nouvelle certification Microsoft 365 sur la sécurité (MS-500)

    Microsoft revoit en profondeur son programme de certifications avec une longue série de nouvelles certifications. Microsoft vient d’annoncer l’arrivée d’une nouvelle certification pour Microsoft 365 sur le thème de la sécurité. MS-500 : Microsoft 365 Security Administration couvre des éléments : Azure Active Directory, Azure Advanced Threat Protection (ATP), Windows Defender Advanced Threat Protection (ATP), Windows Defender, Windows Information Protection, Microsoft Intune, Office 365, Azure Information Protection, Cloud App Security, Windows Analytics, etc.

    Voici les diffèrents éléments évalués en détail :

    • Mettre en œuvre et gérer l'identité et l'accès (30-25%)
      • Sécuriser les environnements hybrides Microsoft 365
      • Sécuriser les comptes des utilisateurs
      • Mettre en œuvre des méthodes d'authentification
      • Mettre en œuvre l'accès conditionnel
      • Mettre en œuvre le contrôle d'accès basé sur les rôles (RBAC)
      • Mettre en œuvre Azure AD Privileged Identity Management (PIM)
      • Mettre en œuvre Azure AD Identity Protection
    • Mettre en œuvre et gérer la protection contre les menaces (20-25%)
      • Mettre en œuvre une solution hybride de protection contre les menaces d'entreprise
      • Mettre en œuvre la protection contre les menaces liées aux périphériques
      • Mettre en œuvre et gérer la protection des périphériques et des applications
      • Mettre en œuvre et gérer la protection de messagerie Office 365
      • Mettre en œuvre et gérer la protection contre les menaces Office 365
    • Mettre en œuvre et gérer la protection de l'information (15-20 %)
      • Accès sécurisé aux données au sein d'Office 365
      • Gérer Azure information Protection (AIP)
      • Gérer la prévention des pertes de données (DLP)
      • Implémenter et gérer Microsoft Cloud App Security
    • Gérer les fonctionnalités de gouvernance et de conformité dans Microsoft 365 (25-30%)
      • Configurer et analyser les rapports de sécurité
      • Gérer et analyser les journaux et rapports d'audit
      • Configurer la classification et l'étiquetage Office 365
      • Gérer la gouvernance et la conservation des données
      • Gérer les recherches et les enquêtes
      • Gérer la conformité à la réglementation sur la protection des données personnelles

     

    Un code de passage (MS500LibertyHikes) est disponible pour les 300 premiers. Les certifications doivent être passées avant le 8 février 2019. 

    Source : https://www.microsoft.com/en-us/learning/exam-ms-500.aspx

    • 7/1/2019

    [Windows Autopilot/Intune] L’installation d’Office Click-to-Run (C2R) fait tomber en timeout la page d’état d’enregistrement de Windows Autopilot

    L’équipe du support Microsoft Intune et différentes personnes de la communauté, ont noté un problème avec Windows Autopilot et l’installation du client Office Click-to-Run (C2R) faite via Microsoft Intune lors de la phase de provisionnement.

    Cette capacité est disponible depuis Windows 10 1809 (ou ultérieur) où il devient possible de traquer l’état d’installation sur la page d’état d’enregistrement (ESP) de Windows Autopilot. Les versions précédentes de Windows 10 ne savent pas traquer cette installation.

    Le problème est que la page d’état d’enregistrement (ESP) peut être affichée plus longtemps et voir même tomber en timeout en fonction des configurations (matériel et Office).

    Dans ce cas de figure, Microsoft recommande l’augmentation du timeout défini au niveau de la configuration de la page d’état d’enregistrement dans Device enrollment →  Windows enrollment →  Enrollment Status Page. L’option Show error when installation takes longer than specified number of minutes permet de contrôler ceci et permet d’aller jusqu’à 24 heures (86 400 secondes).

    Plus d’informations sur : Support Tip: Office C2R installation is now tracked during ESP

    • 6/1/2019

    [Intune] Microsoft recommande l’installation de Microsoft AutoUpdate pour Mac en version 4.5.0 ou plus

    L’équipe du support Microsoft Intune a publié un billet à destination de toutes les entreprises qui ont des utilisateurs sur mac OS. Le billet explique lorsque l’ordinateur mac est géré avec le portail d’entreprise, il est recommandé d’installer Microsoft AutoUpdate pour Mac en version 4.5.0 ou plus afin de recevoir les mises à jour du portail.

    C’est normalement déjà le cas si vous utilisez Office pour mac.

    Néanmoins si ce n’est pas le cas, vous pouvez le récupérer sur : https://go.microsoft.com/fwlink/p/?linkid=830196.

    Plus d’informations sur la page : Release history for Microsoft AutoUpdate (MAU)

    Source : https://techcommunity.microsoft.com/t5/Intune-Customer-Success/Support-Tip-Intune-Company-Portal-updates-for-Mac-with-Microsoft/ba-p/297611

    • 6/1/2019

    [SCCM] Utiliser le FQDN pour la prise en main à distance (Remote Control) pour Direct Access

    Jonathan Warnken (PFE Microsoft) a publié un billet où il détaille comment créer une extension à la console d’administration de System Center Configuration Manager pour initier l’outil de prise en main à distance Remote Control avec un FQDN. Par défaut, l’option accessible en clic droit utilise le nom du client (nom court). Cette extension permet notamment d’ajouter le suffix DNS adéquat ce qui est nécessaire dans les environnements multi-domaines ou pour des clients connectés via DirectAccess.

    Lire Using the Fully Qualified Domain Name for Remote Control in System Center Configuration Manager

    • 5/1/2019

    [Intune] Dépanner le connecteur Exchange On-Premises

    Microsoft a publié un nouveau dépanneur en ligne vous aidant à comprendre et résoudre les problèmes relatifs au connecteur Exchange On-Premises de Microsoft Intune.

    Pour ce faire, vous pouvez suivre : Troubleshooting the Intune On-Premises Exchange Connector

    • 5/1/2019

    [Azure AD] Mise à jour prochaine des adresses IP d’Azure Active Directory

    Microsoft a publié un message dans l’Office Message Center à propos de la mise à jour prochaine des plages d’adresses IP utilisées par les services Azure Active Directory. Microsoft recommande de vérifier vos restrictions réseaux si vous avez basé l’ouverture des flux en fonction des adresses IP et non des URLs. Par exemple, Microsoft Intune utilise certaines plages Azure AD pour différentes étapes (Authentificaiton, Accès aux services, etc.). Si vous ne mettez pas à jour vos configurations, les utilisateurs peuvent voir un impact.

    Microsoft utilisera maintenant les plages suivantes :

    • 20.190.128.0/18
    • 40.126.0.0/18

    Si l'accès à Internet n'inclut pas ces plages d'adresses IP Azure AD supplémentaires, et si Azure AD commence à utiliser ces plages, les connexions des utilisateurs finaux échoueraient et vos utilisateurs ne pourraient pas se connecter aux applications, y compris le portail de l'entreprise et/ou les applications protégées par la politique de protection des applications Intune.

    Le changement est prévu au 15 janvier.

    Source : https://techcommunity.microsoft.com/t5/Intune-Customer-Success/Support-Tip-Azure-AD-updating-IP-Addresses-in-Mid-January/ba-p/304828

    • 4/1/2019

    [SCCM CB] Les antivirus tiers, Windows Defender et Configuration Manager

    Todd Linke (PFE Microsoft) revient sur un cas intéressant rencontré avec System Center Configuration Manager où un serveur de site hébergé sur Windows Servers 2016 ne traitait pas correctement les rapports d’inventaire et les rapports d’état de conformité des mises à jour logicielles.
    En creusant via Process Monitor, il a découvert que les fichiers étaient bloqués par Windows Defender et la protection en temps réel. Ceci a surpris son client qui utilise un antivirus tiers et pensait que Windows Defender était désactivé automatiquement. Ce n’est pas nécessairement le cas de certains antivirus. Il est alors recommandé de vérifier et dans ce cas de

    • Soit créer les exclusions d’analyse adéquates pour Windows Defender
    • Soit désactiver la protection en temps réel.

    Plus d’informations sur : SCCM on Windows Server 2016: The Defender Gotcha