Jean-Sébastien DUCHENE Blog's

Actualité, Tips, Articles sur l'ensemble des Technologies Microsoft (SCCM/SMS, EMS, Microsoft Intune, Microsoft Azure, Windows 10, SCOM, MDOP...)
    • 14/8/2018

    [Intune] Rappel : La gestion des périphériques mobiles (MDM) ne sera plus disponible via Silverlight

    Initialement fixée au 2 avril 2018, la fin de vie de l’ancien portail Silverlight Microsoft Intune pour la gestion des périphériques mobiles (MDM) est maintenant prévue au 31 août 2018. A partir de cette date, il sera nécessaire d’utiliser le portail Intune dans Microsoft Azure.

    Ainsi, seule la gestion classique des PCs avec l’agent Intune restera dans le portail Silverlight.

    Vous devez vérifier que la migration de votre tenant s’est bien passée en validant les stratégies, les messages dans le centre Office Message Center.

    A noter que pour les entreprises qui utilisent Microsoft Intune dans mode hybride couplé à System Center Configuration Manager, la configuration d’Android for Work et des solutions de Mobile Threat Defense se feront toujours depuis le portail Silverlight.

    • 14/8/2018

    Une année avant la fin de support pour SQL Server 2008 et SQL Server 2008 R2

    Le 9 juillet 2019, SQL Server 2008 et SQL Server 2008 R2 arriveront en fin de support. Il y a encore beaucoup de bases de données qui sont hébergées sur ces versions du moteur de SQL Server. Vous devez donc planifier la mise à niveau des bases de données vers SQL Server 2017 ou Azure SQL Database.

    Source : https://cloudblogs.microsoft.com/sqlserver/2018/07/12/sql-server-2008-end-of-support-is-the-first-step-to-tomorrows-database/

    • 13/8/2018

    [Windows 10 1709-1803/SCCM] Bug sur l’interface Windows Defender lorsque la machine est gérée

    Il semble qu’un bug esthétique soit présent dans Windows 10 1709 et 1803 avec l’interface Windows Defender. Lorsque ce dernier est géré par System Center Configuration Manager, vous pouvez appliquer des stratégies qui viennent configurer le client (par exemple activer la protection en temps réel). En regardant le paramétrage dans Windows Defender Security Center, vous observez que ce dernier est grisé mais sur Off contrairement à ce que vous pouvez avoir spécifié. Ceci est valable pour d’autres paramétrages que vous auriez pu configurer.

    Pourtant la protection en temps réel est bien active.

    En réalité, le problème provient du paramétrage dans les stratégies Endpoint Protection : Disable the client Interface. Ce dernier devrait cacher la section Virus & threat protection de Windows Defender Security Center. Au lieu de cela, la section est toujours visible mais tous les paramétrages sont grisés et marqués sur Off malgré l’état réel de chacun d’eux.

    En lieu et place, vous pouvez plutôt utiliser le paramétrage de stratégie de groupe (GPO) : Hide the virus and threat protection area.

    Microsoft planifie la correction du bug pour Windows 10 1809.

    • 13/8/2018

    [Windows 10] Comment (correctement) bloquer l’accès au Microsoft Store ?

    C’est un sujet récurrent ! Au-delà de la stratégie globale de l’entreprise qui vise à autoriser de nouveaux usages, comment bloquer l’accès au Microsoft Store sur Windows 10 ?

    On voit de nombreuses techniques sur Internet :

    • Utiliser les stratégies de groupes (GPO)
    • Utiliser AppLocker
    • Utiliser les Configuration Service Providers (CSP) et un outil de gestion des périphériques mobiles (MDM)
    • Utiliser des méthodes diverses et variées visant à *casser* le Microsoft Store

    Les trois premières solutions requièrent l’édition Enterprise.

    Le dernier point et les méthodes qui sont associés, visent toutes à contourner la limitation sur des éditions Pro mais ne prennent pas en compte les dangers de celles-ci.

    Pourquoi est-il important de bloquer le Microsoft Store avec les méthodes officielles via l’édition Enterprise ?

    Les méthodes que vous pourrez trouver sur Internet, empêchent véritablement tout fonctionnement du Microsoft Store. Or le Microsoft Store est utilisé pour mettre à jour les applications universelles (Calculatrice, Paint 3D, etc.) présentes par défaut lors de l’installation du système. L’utilisation de ces méthodes impliquent donc que les applications universelles par défaut ne seront plus par défaut. Les éventuels bugs ou corrections de failles de sécurité ne seront donc pas réalisées.

    Outre cet aspect, les changements que vous apportez, sont généralement effacés/réinitialisés à la mise à niveau vers la version suivante de Windows 10. Il se peut aussi que les changements soient irréversibles et aillent au-delà de ce que vous pouvez attendre.

    Quelle est la bonne méthode pour bloquer le Microsoft Store ?

    Le plus étonnant est bien que vous utilisiez une des trois premières méthodes pour bloquer le Microsoft Store, il y a de bonnes et mauvaises façons de les configurer.

    En effet, l’application des stratégies (GPOs) ou CSPs sur la machine, bloque entièrement le Microsoft Store et empêche donc la mise à jour des applications.

    Pour contourner ce problème, vous devez donc appliquer ces éléments à l’utilisateur et non à la machine. Pour les GPOs, vous devez donc utiliser le paramétrage Turn off the Store application présent dans User Configuration\Administrative Templates\Windows Components

     

    Ceci permettra de bloquer l’accès à l’interface utilisateur tout en laissant les mises à jour se faire naturellement.

    • 12/8/2018

    [SCCM] Mise à jour de la baseline permettant de vérifier les failles Spectre et Meltdown

    Microsoft a mis à jour la baseline permettant de vérifier l’état de conformité des machines vis-à-vis des vulnérabilités Spectre et Meltdown (Speculation Execution Side-Channel) avec System Center Cofniguration Manager.

    La baseline vérifie si la protection est activée pour les trois vulnérabilités suivantes :

    La baseline requiert PowerShell 3.0 pour fonctionner.

    Télécharger Speculation Execution Side-Channel Vulnerabilities Configuration Baseline

    Source : https://blogs.technet.microsoft.com/configurationmgr/2018/08/02/updated-speculation-execution-side-channel-vulnerabilities-configuration-baseline/

    • 12/8/2018

    [Intune] L’installation du client SCCM via Microsoft Intune et la Cloud Management Gateway renvoie une erreur de token AAD

    Vous pouvez peut-être rencontrez ce problème si vous décidez d’installer le client System Center Configuration Manager via Microsoft Intune en utilisant la Cloud Management Gateway (CMG). Vous observez les messages suivants dans les fichiers de journalisations :

    Fail to get AADToken with system account, enumerate all logged users
    Impersonating to user 'S-1-12-1-4252556605-1289310833-1819726501-980362358' for getting AAD token...
    Getting AAD (user) token with: ClientId = c0063a1e-0982-4909-9129-081363b86584, ResourceUrl = http://sccmwebapp.domaineonmicrosoft.com, AccountId = 5D2A840C-77A2-4C6F-B15E-7766D5974C50
    Retrieved AAD token for AAD user 'fd78dd3d-5271-4cd9-a5d2-766c76246f3a'
    Getting CCM Token from https:// DOMAINE.CLOUDAPP.NET/CCM_Proxy_ServerAuth/72759400537927937/CCM_STS
    Getting AAD (device) token with: ClientId = c0063a1e-0982-4909-9129-081363b86584, ResourceUrl = http://sccmwebapp.domaineonmicrosoft.com, AccountId = 5D2A840C-77A2-4C6F-B15E-7766D5974C50
    WAM token request failed. Status 5, Details 'AAD WAM extension error'
    Failed to get AAD token.. No more connections can be made to this remote computer at this time because there are already as many connections as the computer can accept. (Error: 80070047; Source: Windows)
    Fail to get AADToken with system account, enumerate all logged users
    Impersonating to user 'S-1-12-1-4252556605-1289310833-1819726501-980362358' for getting AAD token...
    Getting AAD (user) token with: ClientId = c0063a1e-0982-4909-9129-081363b86584, ResourceUrl = http://sccmwebapp.Customerdomainonmicrosoft.com, AccountId = 5D2A840C-77A2-4C6F-B15E-7766D5974C50
    Retrieved AAD token for AAD user 'fd78dd3d-5271-4cd9-a5d2-766c76246f3a'
    Getting CCM Token from https:// DOMAINE.CLOUDAPP.NET/CCM_Proxy_ServerAuth/72759400537927937/CCM_STS
    MapNLMCostDataToCCMCost() returning Cost 0x1
    GET 'https://DOMAINE.CLOUDAPP.NET/CCM_Proxy_ServerAuth/72759400537927937/CCM_STS'
    GetSSLCertificateContext failed with error 0x87d00281
    client certificate is not provided.
    Failed to successfully complete WinHttp request. (StatusCode at WinHttpQueryHeaders: 500), StatusText: 'CMGConnector_InternalServerError'RetrieveTokenFromStsServer failed with error 0x87d00215 MapNLMCostDataToCCMCost() returning Cost 0x1
    Client is not allowed to use PKI issued certificate or AAD token thus it can not talk to HTTPS server.
    GetHttpRequestObjects failed for verb: 'CCM_POST', url: 'https://DOMAINE.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72759400537927937/ccm_system/request'
    GetDPLocations failed with error 0x80004005
    Failed to get DP locations as the expected version from MP 'https://DOMAINE.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72759400537927937. Error 0x80004005
    Failed to get client version for sending state messages. Error 0x8004100e
    Params to send '5.0.8634.1813 Deployment Error: 0x0, Client is not allowed to use PKI issued certificate or AAD token thus it can not talk to HTTPS server.

    Ce problème survient avec System Center Configuration Manager 1802 ou plus. A partir de cette version, Microsoft requiert un Management Point configuré pour fonctionner avec du HTTPS afin de sécuriser la communication du token AAD. Vous devez donc ajouter un Management Point HTTPS dans votre environnement.

    • 11/8/2018

    [SCOM] Community Technical Preview (7.0.8.0) des Management Packs SQL Server 2017+ Reporting Services et Analysis Services

    Microsoft vient de proposer une nouvelle CTP pour le pack d’administration ou Management Pack (MP) SCOM pour superviser les composants pour SQL Server 2017 en version 7.0.8.0. Les Management Packs proposés supportent les fonctionnalités suivantes :

    • Microsoft SQL Server 2017 Reporting Services
    • Microsoft SQL Server 2017 Analysis Services

     

    Télécharger Microsoft System Center Management Packs (Community Technology Preview) for SQL Server 2017+ Reporting Services and Analysis Services

    • 11/8/2018

    [SCOM] Mise à jour (7.0.7.0) du Management Pack pour superviser SQL Server 2008/2008 R2/2012

    Microsoft vient de mettre à jour (7.0.7.0) le pack d’administration ou Management Pack (MP) SCOM pour superviser SQL Server 2008, 2008 R2 et 2012. Il fonctionne avec SCOM 2012 SP1 ou plus. Cette nouvelle version apporte les éléments suivants :

    • Correction : Dans certains environnements, les workflows d’espace de base de données échouent quand une seconde base de données n’est pas lisible.
    • Correction : La règle d’alerte « The agent is suspect. No response within last minutes” ne permet pas d’attraper les événéments appropriés dû à la mauvaise source.
    • Correction : Le moniteur « DB File Space » du Management Pack SQL Server 2008 lève des événements en erreur due à un caractère $ non nécessaire dans la configuration de l’alerte

     

    Télécharger

    • 10/8/2018

    Nouvelle Preview (1.34.6.0) du client Azure Information Protection

    Microsoft vient de publier une nouvelle Preview (1.34.6.0) du client pour son service Microsoft Azure Information Protection. Parmi les changements sur le client, on retrouve :

    • Prise en charge de nouveaux types d'informations sensibles pour vous aider à classer les documents contenant des informations personnelles.
    • Prise en charge de la labelisation pour le format Strict Open XML Document dans les fichiers Word, Excel et PowerPoint.
    • Prise en charge de la norme ISO pour le chiffrement des PDF, en configurant une nouvelle option avancée du client. Lorsque cette option est configurée, les documents PDF que vous protégez conservent leur extension de nom de fichier.pdf (plutôt que de passer à.ppdf) et peuvent être ouverts par des lecteurs PDF qui prennent en charge cette norme ISO.
    • Prise en charge des fichiers qui ont été protégés par Secure Islands lorsque ces fichiers ne sont pas des documents PDF et Office. Par exemple, des fichiers texte et images protégés. Ou, les fichiers qui ont une extension de nom de fichier.pfile. Ce support permet de nouveaux scénarios, tels que le scanneur Azure Information Protection qui permet d'inspecter ces fichiers à la recherche d'informations sensibles et de les ré-étiqueter automatiquement pour Azure Information Protection.
    • Lorsque vous classifiez et protégez en utilisant PowerShell ou le scanneur, les métadonnées des documents Office ne sont pas supprimées ou chiffrées.
    • L'affichage des e-mails à l'aide des icônes de flèche Élément suivant et Élément précédent sur la barre d'outils Accès rapide affiche l'étiquette correcte pour chaque e-mail.
    • Les permissions personnalisées prennent en charge les adresses électroniques des destinataires qui contiennent une apostrophe.
    • L'environnement informatique s'initialisera avec succès (bootstrap) lorsque cette action est lancée en ouvrant un document protégé stocké dans SharePoint Online.
    • Plusieurs correctifs importants.

    Parmi les changements sur le scanneur, on retrouve 

    • Nouvelle cmdlet, Update-AIPScanner : Requis pour fonctionner une fois après la mise à niveau de la version 1.26.6.0 ou antérieure.
    • Nouvelle cmdlet, Get-AIPScannerStatus : Obtient l'état actuel du service pour le scanner.
    • Nouvelle cmdlet, Start-AIPScan : Demande au scanneur de démarrer un cycle d’analyse ponctuel lorsque l'horaire est réglé sur manuel.
    • SharePoint Server 2010 est pris en charge pour les clients qui ont étendu le support de cette version de SharePoint.
    • Pour les documents protégés dans les bibliothèques SharePoint, si le paramètre DefaultOwnerparameter n'est pas utilisé pour le référentiel de données, la valeur SharePoint Editor est maintenant utilisée comme valeur par défaut au lieu de la valeur Author.
    • Les rapports du scanneur incluent "Dernière modification par" pour les documents Office.
    • Pour le scanneur, la liste d'exclusion par défaut inclut maintenant les fichiers.rtf


    Télécharger Azure Information Protection Client Preview

    • 10/8/2018

    [Intune] CHANGEMENT sur le fonctionnement du paramètre permettant de forcer le changement de mot de passe sur macOS 10.13 ou plus

    Microsoft a publié un changement (MC145129) sur la gestion des périphériques mobiles (MDM) avec Microsoft Intune en mode autonome ou hybride (avec SCCM) dans le Message Center du portail Office 365.

    Dans la version de septembre, Microsoft Intune intégrera le nouveau paramètre Change password at next auth pour les périphériques exécutant macOS 10.13 ou plus.

    Avant l'introduction de ce paramètre, les fournisseurs de MDM n'avaient aucun moyen de vérifier que le code d'accès d'un appareil avait été modifié pour assurer la conformité. Les stratégies de configuration et de conformité d'Intune validaient uniquement au prochain changement de mot de passe sur l'appareil, afin d’être marqué comme conforme. Les utilisateurs macOS recevront une demande de mise à jour de leur mot de passe lors de l'intégration de cette nouvelle fonctionnalité Apple, même si leur mot de passe est déjà conforme.

    Maintenant que l'Apple a introduit ce paramétrage, Intune peut forcer les utilisateurs à mettre à jour leur mot de passe à un mot de passe conforme lorsqu'une stratégie de mot de passe est poussée. Si vous bloquez les ressources de l'entreprise jusqu'à ce que l'appareil soit conforme, sachez que vos utilisateurs finaux peuvent être empêchés d'accéder aux ressources de l'entreprise jusqu'à ce qu'ils réinitialisent leur mot de passe. À l'avenir, toutes les mises à jour des stratégies de configuration et de conformité des mots de passe obligeront les utilisateurs ciblés à mettre à jour leurs mots de passe.

    • 9/8/2018

    [SQL] Nouvelle version (Juillet 2018) de SQL Operations Studio

    Microsoft a publié une nouvelle version (Juillet 2018) de SQL Operations Studio. Pour rappel ces outils sont disponibles depuis Windows, macOS, et Linux pour permettre de gérer SQL Server, Azure SQL DB, et Azure SQL Data Warehouse.

    Cette version inclut les éléments suivants :

    • Configuration de l’agent SQL Server :
      • Ajout de vue pour les alertes, les opérateurs, et proxies
      • Ajout de boite de dialogue pour de nouveaux jobs, de nouvelles étapes de job, de nouvelles alertes, et de nouveaux opérateurs.
      • Ajout d’options sur le clic droit pour supprimer un job, supprimer une alerte et supprimer un opérateur
      • Ajout de visualisation Previous Runs.
      • Ajout de filtres pour chaque nom de colonne.
    • Améliorations de SQL Server Profiler.
      • Ajout de raccourcis clavier pour lancer et démarrer/arrêter rapidement Profiler.
      • Ajout de 5 modèles par défaut pour visualiser les événements étendus.
      • Ajout du nom de connexion Serveur/Base de données
      • Ajout de la prise en charge des instances d’Azure SQL Database
      • Ajout d'une suggestion pour quitter Profiler lorsque l'onglet est fermé et que Profiler est toujours en cours d'exécution.
    • Publication de l’extension communautaire Combine Scripts dans l’Extensions Manager.
    • Extensibilité des boites de dialogue et des assistants
    • Continuer à corriger les problèmes remontés via GitHub.

    Plus d’informations : https://cloudblogs.microsoft.com/sqlserver/2018/07/19/the-july-release-of-sql-operations-studio-is-now-available/

     

    Télécharger SQL Operations Studio

    • 9/8/2018

    [Intune] Support d’Android 9 (Pie)

    Microsoft vient d’annoncer le support d’Android 9 ou Pie par Microsoft Intune. Cette version d’Android a été par Microsoft à chaque Preview et est totalement supporté par les stratégies de protection des applications (MAM) ainsi que la gestion des périphériques mobiles (MDM).

    Microsoft rappelle quelques éléments :

    • Si vous êtes un développeur, vous devez utiliser la dernière version du SDK Intune.
    • Si vous êtes un administrateur ou un développeur qui a utilisé une version antérieure de l’outil d’encapsulation d’application Intune (Intune App Wrapping Tool), l’équipe Intune va publier une nouvelle mise à jour d’ici quelques semaines afin de faire fonctionner vos applications métiers avec Android P.
    • Microsoft rappelle qu’il faut encourager vos utilisateurs à mettre à jour le portail d’entreprise, le navigateur géré (Managed Browser) et toutes les applications MAM compatibles. Les dernières versions sont nécessaires pour le fonctionnement avec Android P.

    Pour les entreprises qui utilisent le MDM de Microsoft Intune :

    • L’assistant Company Access Setup peut ne pas fonctionner correctement sur un périphérique qui exécute une version préliminaire d’Android P. Microsoft va corriger le problème en août sur le portail Intune.
    • Il y a un changement d’icône au niveau des profils de travail (Work Profiles) dans Android P pour Android Enterprise.

    Source : https://blogs.technet.microsoft.com/intunesupport/2018/08/07/support-tip-intune-support-for-android-p/

    • 8/8/2018

    [SCOM 2012 R2/2016/1801] Un Management Pack pour (re)configurer de nouvelles connexions vers l’Operations Management Suite (OMS)

    Microsoft vient de publier un Management Pack pour permettre la configuration ou la reconfiguration de la connexion entre System Center Operations Manager (2012 R2/2016/1801) et Operations Management Suite (OMS). Microsoft a en effet intégré de nouvelles APIs dans OMS et ce Management Pack permet leur utilisation pour créer la connexion.

    Pour rappel, System Center Operations Manager (SCOM) fait partie de la gamme System Center, il propose une supervision souple et évolutive de l’exploitation au niveau de toute l’entreprise, réduisant la complexité liée à l’administration d’un environnement informatique, et diminuant ainsi le coût d’exploitation. Ce logiciel permet une gestion complète des événements, des contrôles proactifs et des alertes, et assure une gestion des services de bout en bout. Il établit des analyses de tendance et des rapports, et contient une base de connaissances sur les applications et le système.

    Télécharger :

    • 8/8/2018

    [SCCM CB] Le téléchargement de la mise à jour du client Office 365 ProPlus reste bloquée à 50%

    Un problème semble toucher de plus en plus d’entreprises qui utilisent System Center Configuration Manager Current Branch pour mettre à jour le client Office 365 ProPlus. Dans ce cas de figure, vous pouvez voir le téléchargement de la mise à jour bloquée à 50% de téléchargement. La mise à jour finit ensuite par échouer.

    Le problème est connu de Microsoft et concerne principalement Office lui-même. Le correctif est planifié pour Août 2018.

    En attendant une des solutions de contournement qui peut permettre de débloquer la situation revient à renommer ou supprimer le cache de téléchargement dans C:\Program Files (x86)\Microsoft Office\Updates\Download.

    • 7/8/2018

    [Intune] Les nouveautés du mois de la seconde quinzaine de Juillet 2018

    Microsoft vient d’annoncer la mise à disposition d’un nouvel ensemble de fonctionnalités pour Microsoft Intune.

    Les fonctionnalités suivantes sont ajoutées :

    Enregistrement des périphériques

    • [Windows 10] Le portail d’entreprise permet d’initier des synchronisations directement depuis la barre de tâches ou le menu démarrer via une action de clic droit et les jump lists. On retrouve une option Sync this device qui ouvre la page settings de Windows et initie une synchronisation.
    • [Windows 10] Nouvelles expériences de navigation sur le portail d’entreprise de Windows permettant de changer de la vue par Tuiles à la vue Détails. La nouvelle vue liste des détails sur les applications comme le nom, l’éditeur, la date de publication et l’état d’installation. Plus d’informations sur : What's new in the UI.
    • [Windows 10] Amélioration de l’expérience quand un gestionnaire d’enregistrement de périphérique (DEM) se connecte au portail d’entreprise. L’application liste maintenant uniquement les périphériques en cours d’exécution du DEM. Ceci réduit les timeouts précédents.
    • [Android] Par défaut, les périphériques Android enregistrés à l'aide de Samsung Knox Mobile Enrollment sont maintenant marqués comme d’entreprise (Corporate). Vous n'avez pas besoin d'identifier manuellement les appareils de l'entreprise en utilisant IMEI ou les numéros de série avant de les inscrire en utilisant Knox Mobile Enrollment.

    Gestion du périphérique

    • [Général] Vous pouvez maintenant supprimer plusieurs périphériques à la fois sur la tuile des périphériques. Choisissez Devices > All devices > sélectionnez les périphériques à supprimer puis Delete. Pour les périphériques qui ne peuvent pas être supprimés, une alerte s'affiche.

    Configuration du périphérique

    • [Général] Microsoft a intégré une API Java qui permet aux autorités de certification tierces d'intégrer Intune et SCEP. Ensuite, les utilisateurs peuvent ajouter le certificat SCEP à un profil et l'appliquer aux périphériques.
    • [Général] Support de S/MIME pour le chiffrement et la connexion d’utilisateurs sur plusieurs périphériques. Vous pouvez utiliser un nouveau profile de certificats : Device configuration > Profiles > Create profile > plateforme > PKCS imported certificate. Le certificat est ensuite déployé à plusieurs périphériques pour un même utilisateur. Ceci est supporté sur Windows 10, Windows 10 Mobile, macOS, iOS et Android :
      • Le profil email iOS natif prend en charge l'activation du chiffrement S/MIME à l'aide de certificats importés au format PFX.
      • L'application email native sur les périphérique Windows 10 Mobile utilise automatiquement le certificat S/MIME.
      • Les certificats privés peuvent être délivrés sur plusieurs plates-formes. Mais toutes les applications de messagerie ne prennent pas en charge S/MIME.
      • Sur d'autres plates-formes, vous devrez peut-être configurer manuellement l'application de messagerie pour activer S/MIME.
      • Les applications de messagerie qui prennent en charge le chiffrement S/MIME peuvent gérer la récupération des certificats pour le chiffrement de messagerie S/MIME d'une manière qu'un MDM ne peut pas prendre en charge, comme la lecture à partir de la liste de certificats de leur éditeur.
    • [Général] Vous pouvez maintenant configurer si les navigateurs de Kiosk affichent ou non le bouton End Session. Si le paramètre est activé, lorsqu'un utilisateur clique sur le bouton, l'application demande une confirmation pour mettre fin à la session. Une fois confirmé, le navigateur efface toutes les données de navigation et revient à l'URL par défaut.
    • [macOS] Vous pouvez créer une stratégie de conformité pour vérifier l’état du pare-feu sur macOS 10.12 ou plus via Device compliance > Policies > Create policy > Platform: macOS > System security. On retrouve les modes :
      • Firewall : Configure la façon dont les connexions entrantes sont gérées dans votre environnement.
      • Incoming connections: Bloquz toutes les connexions entrantes sauf celles requises pour les services Internet de base, tels que DHCP, Bonjour et IPSec. Ce paramètre bloque également tous les services de partage.
      • Stealth mode : Active le mode furtif pour empêcher l'appareil de répondre aux demandes de palpage. L'appareil continue de répondre aux demandes entrantes d'applications autorisées.
    • [Windows 10] Vous pouvez maintenant créer des profils de configuration WifI directement dans Intune sans avoir à utiliser un fichier XML.
    • [Windows 10] Les anciens profils Kiosk – Obsolete sont grisés et ne peuvent pas être changés.
    • [Windows 10] Il devient possible de créer un profil de configuration eSIM cellular. Vous pouvez importer un fichier contenant les codes d'activation cellulaire fournis par votre opérateur mobile. Vous pouvez ensuite déployer ces profils sur vos périphériques Windows 10 compatibles eSIM LTE, tels que le Surface Pro LTE et d'autres périphériques compatibles eSIM.

    Gestion des applications

    • [Windows 10] Il devient plus facile d’éditer les déploiements d’application Office 365 Pro Plus. Il n’est donc plus nécessaire de supprimer le déploiement pour changer des propriétés.
    • [Windows 10] Les extensions de fichiers pour les applications Windows permettent maintenant de déployer des .msix et .msixbundle en plus des .msi, .appx, et .appxbundle. Vous pouvez les ajouter en naviguant dans Mobile apps > Apps > Add. Vous sélectionenz le type d’application et vous pouvez ensuite uploader le fichier.
    • [macOS] Support du déploiement d’applications métiers pour macOS comme requis ou disponible avec enregistrement. Les utilisateurs peuvent voir les applications disponibles via le portail d’entreprise pour macOS ou via le site web du portail d’entreprise.
    • [iOS] Support des applications intégrées (par exemple Safari) pour le mode Kiosk.

    Plus d’informations sur : https://docs.microsoft.com/en-us/intune/whats-new

    • 7/8/2018

    [Office 365] Microsoft répond à vos questions sur Microsoft Teams

    Microsoft va proposer un événement de questions/réponses sur Microsoft Teams. Cet évènement aura lieu le jeudi 9 août de 18h à 19h (heure française). Ask Microsoft Anything est une belle opportunité pour poser des questions sur Microsoft Planner avec une réponse directe.

    Vous devez être membre de Tech Community pour poster vos questions via l’adresse : https://aka.ms/teamsama

    Source : https://techcommunity.microsoft.com/t5/Microsoft-Teams-AMA/Announcing-a-Microsoft-Teams-AMA/m-p/

    • 6/8/2018

    [Intune] Obtenir les versions préliminaires du portail d’entreprise sur macOS

    L’équipe du support Microsoft Intune a fournit la procédure permettant de s’inscrire au programme Insider permettant d’obtenir l’accès aux versions préliminaires du portail d’entreprise de Microsoft Intune pour macOS. Ceci peut être particulièrement intéressant pour les entreprises qui souhaitent tester les changements ou voir les adaptations d’interface afin d’informer les utilisateurs.

    Pour ce faire, vous devez :

    • Installer le portail d’entreprise depuis le site web suivant ou depuis https://macadmins.software/
    • Microsoft AutoUpdate doit automatiquement se lancer après l’installation. Vous pouvez aussi le lancer depuis le portail d’entreprise via le menu Help – Check for Updates.
    • Lorsque Microsoft AutoUpdate se lance, vous pouvez cocher la case Join the Office Insider program.
    • Sélectionnez le cercle de distribution Office Insider Slow et cliquez sur Check for updates.

    Notez que cette configuration s’applique aussi à Office for Mac.

    Source : https://blogs.technet.microsoft.com/intunesupport/2018/07/13/use-microsoft-autoupdate-for-early-access-to-the-macos-company-portal-app/

    • 6/8/2018

    [Remote Desktop] Dépréciation du client Remote Desktop 8.0 pour macOS

    Microsoft a annoncé la dépréciation et le retrait de la version 8.0 du client Remote Desktop pour macOS pour le 1er septembre. Microsoft recommande l’usage de la version 10 du client Remote Desktop. Cette dernière est disponible depuis l’AppStore.

    La version 10.0 apporte notamment les nouveautés suivantes :

    • Une nouvelle expérience utilisateur
    • Les redirections de périphériques dans la session distante
    • L’utilisation des raccourcis macOS dans la session distante (couper/copier/coller)

     

    Vous pouvez importer les configurations de la version 8.0 si vous utilisez la version 8.0.43 via la fonction import connections.

    Source : https://cloudblogs.microsoft.com/enterprisemobility/2018/07/13/deprecation-of-the-remote-desktop-8-0-client-for-macos/

    • 5/8/2018

    [Windows 7/Server 2008 R2] Sysprep échoue si Windows Management Framework 5.1 est installé

    Brandon Linton (MSFT) a publié un billet pour parler d’un problème qui touche la création d’images Windows 7 SP1 ou Windows Server 2008 R2 SP1. Le problème survient si vous installez Windows Management Framework 5.1 et que vous exécutez un sysprep. Vous recevez alors les erreurs :

    Sysprep_Generalize_MiStreamProv: RegDeleteValue for target uri failed with error = 2[gle=0x00000002]

    Sysprep_Generalize_MiStreamProv: RegDeleteValue for full payload time failed with error = 2[gle=0x00000002]

     

    Pour contourner le problème, vous devez passer la valeur de registre LastFullPayloadTime à 0 (DWORD) au niveau de la clé HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\StreamProvider

    Source : https://blogs.technet.microsoft.com/brandonlinton/2018/05/03/sysprep-fails-if-installing-windows-management-framework-5-1/

    • 5/8/2018

    Un référentiel de toutes les commandes Windows

    Microsoft a publié un PDF comportant toutes les commandes Windows sous forme d’une liste alphabétique. Ceci peut être particulièrement utile pour du scripting. On y retrouve la syntaxe, les paramètres, etc. Ce fichier est une extraction de la documentation.

    Télécharger Windows Commands Reference

    • 4/8/2018

    [Intune] Microsoft répond à toutes les questions que vous vous posez sur les certificats Apple APNs

    L’équipe du support Intune a publié un billet pour rappeler l’importance des certificats APNs pour la gestion des périphériques iOS et macOS avec Microsoft Intune. L’article explique :

    • A quoi servent les certificats APNs ?
    • Quelle est la durée de validité ? 1 an
    • Qu’est-ce qu’il se passe si vous ne renouvelez pas le certificat avant l’expiration ? Vous ne pouvez plus enregistrer de nouveaux périphériques iOS et vous pouvez expérimenter des problèmes de gestion des périphériques existants.
    • Est-ce que vous devez renouveler votre certificat APN ou en obtenir un nouveau ? Vous devez le renouveler pour ne pas avoir à réenregistrer les périphériques déjà gérés.
    • Comment savoir si le certificat APN va expirer ?
    • Comment renouveler le certificat ?
    • Si vous avez plusieurs certificats APNs, comment savoir lequel vous devez renouveler ?
    • Comment changer l’identifiant Apple utilisé par le certificat APN existant ? C’est une erreur assez commune. Plutôt que d’utiliser un compte générique, c’est celui d’un membre du support informatique qui est utilisé. Que se passe-t-il s’il quitte l’entreprise. Vous pouvez contacter Apple pour changer l’Apple ID associé au certificat.

    Pour en apprendre plus : Intune and the APNs certificate: FAQ and common issues

    • 4/8/2018

    [WD ATP] Exemples de requêtes pour le Threat Hunting

    Windows Defender Advanced Threat Protection est un service initialement inclus dans Windows 10 proposant une solution d’analyse, d’investigation et de réponse (forensic) permettant d’améliorer la détection et l’alerting. Il offre des actions de réponse et une vision courante des attaques possibles. Il permet de répondre à des attaques comme celles de ransomwares, malwares, etc.

    Une des nouvelles fonctionnalités permet de chercher des traces de menaces sur l’ensemble des machines. Threat Hunting permet de lancer des actions sur tous les éléments constitutifs d’une machine (fichiers, dossiers, registre, communications, etc.)

    Microsoft a mis à disposition des exemples de requêtes permettant d’utiliser cette fonctionnalité : https://github.com/Microsoft/WindowsDefenderATP-Hunting-Queries

    Par exemple pour trouver les machines où la trace (hash) d’un fichier a été détecté, vous pouvez utiliser la requête :

    // Find the machines on which this file was seen
    // TODO - set file hash to be a SHA1 hash of your choice...
    let fileHash = "e152f7ce2d3a4349ac583580c2caf8f72fac16ba";
    find in (FileCreationEvents, ProcessCreationEvents, MiscEvents, RegistryEvents, NetworkCommunicationEvents, ImageLoadEvents)
    where SHA1 == fileHash or InitiatingProcessSHA1 == fileHash
    project ComputerName, ActionType, FileName, InitiatingProcessFileName, EventTime, SHA1, InitiatingProcessSHA1
    | project ComputerName, ActionType, EventTime,
              FileName = iff(SHA1 == fileHash, FileName, InitiatingProcessFileName),
              MatchedSide=iff(SHA1 == fileHash, iff(InitiatingProcessSHA1 == fileHash, "Both", "Child"), "Parent")
    | summarize makeset(ActionType), FirstEventTime=min(EventTime), (LastEventTime, LastActionType)=arg_max(EventTime, ActionType) by FileName, MatchedSide, ComputerName
    | top 1000 by LastEventTime desc
    | sort by ComputerName, LastEventTime desc

    • 3/8/2018

    Les modèles d'administration (ADMX) pour Windows 10 1803

    Ils sont sortis il y a plusieurs mois mais il est toujours bien de le rappeler les modèles d’administrations (ADMX, ADML) Active Directory pour Windows 10 1803 (Spring Creator Updates) sont disponibles. Les modèles d’administrations pour Active Directory permettent d’ajouter les paramètres permettant de personnaliser les paramétrages et valeurs de registre dédiées à Windows 10.

    Télécharger Administrative Templates (.admx) for Windows 10 Creators Update

    • 3/8/2018

    [SCCM 1702+] Activer l’authentification à facteurs multiples (MFA) pour se connecter à la console d’administration

    Depuis System Center Configuration Manager 1702, Microsoft permet d’activer une authentification à facteurs multiples (MFA) afin de faire des appels sur le SMSProvider et par conséquent utiliser la console.

    Pour ce faire, vous devez :

    1. Ouvrir WBEMTEST
    2. Vous connecter à l’espace de nom root\sms_\site_<code de site>
    3. Sélectionner Execute Method
    4. Dans le champ Object Path, entrez sms_site puis cliquez sur OK
    5. Dans la liste Method, sélectionnez SetAuthenticationLevel
    6. Cliquez sur Edit In Parameters…
    7. Editez le propriété AuthenticationLevel en passant à 10 (authentification par PIN ou Smart Card) ou 20 (Authentification par PIN uniquement)
    8. Editez la propriété ExceptionList pour spécifier des exceptions (comptes de service, etc.) en ajoutant les SIDs des utilisateurs ou des groupes de sécurité.
    9. Cliquez ensuite sur Execute! et Dismiss

     

    Plus d’informations sur l’article : Enable multi-factor authentication for SMS Provider calls

    • 2/8/2018

    [SCCM 1806] System Center Configuration Manager 1806 est disponible !

    Microsoft vient de mettre à disposition la version finale (5.00.8692.1000) de System Center Configuration Manager 1806. ConfigMgr a subi une refonte de sa structure pour permettre des mises à jour aisées de la même façon que l’on peut le voir avec Windows 10. C’est pourquoi la fonctionnalité Updates and Servicing (nom de code Easy Setup) a été introduite. Vous devez donc utiliser cette dernière pour mettre votre site System Center Configuration Manager 1706. Si vous utilisez System Center 2012 Configuration Manager, vous devez mettre à jour votre site vers System Center Configuration Manager 1702 avant de pouvoir passer à cette version.

    Note : Un script PowerShell est disponible pour permettre d’opter pour la première vague de déploiement.

    System Center Configuration Manager 1806 comprend les nouveautés suivantes :

    Administration

    • Haute disponibilité du rôle serveur de site (Site Server). Il devient possible d’installer un site primaire additionnel dans un mode passif. Ce dernier peut être utilisé immédiatement si nécessaire. La base de données de site doit être distante des deux serveurs de site. La promotion du site primaire passif en actif, se fait manuellement. Un site primaire en mode passif :
      • Utilise la même base de données de site que le serveur de site actif.
      • Reçoit une copie de la librairie de contenu du serveur de site actif qui reste ensuite synchronisé.
      • N’écrit pas de données dans la base de données de site tant qu’il est en mode passif.
      • Ne supporte pas l’installation ou la suppression de rôles de système de site optionnel dès lors qu’il est en mode passif.
      • Peut-être On-Premises ou dans le Cloud Azure.
      • Doit être dans le même domaine que le serveur de site actif.
    • Package Conversion Manager est maintenant intégré dans Configuration Manager afin de permettre de convertir des packages SCCM 2007 vers les applications Configuration Manager Current Branch. Cet outil avait été introduit dans System Center 2012 Configuration Manager pour faciliter la migration.
    • CMTrace est maintenant installé avec le client Configuration Manager dans le répertoire %WinDir%\CCM\cmtrace.exe. Néanmoins, il n’est pas enregistré automatiquement avec Windows pour ouvrir les extensions de fichiers .log.
    • La liste des périphériques dans Asset and Compliance de la console d’administration affiche maintenant par défaut l’utilisateur actuellement connecté. Cette valeur est remontée par les informations de l’état du client. La valeur est nettoyée lorsque l’utilisateur se déconnecte.

    • La fonctionnalité Management Insights permet d’obtenir des informations sur l’état de l’environnement en fonction des données de la base de données.
      • Cette version ajoute les règles suivantes :
        • Les objets de configuration inutilisés : Les objets de configuration qui ne font pas partie d'une ligne de base de configuration et qui datent de plus de 30 jours.
        • Les images de démarrage (boot images) inutilisées : Images de démarrage non référencées pour le démarrage PXE ou l'utilisation d'une séquence de tâches.
        • Les groupes de limites sans système de site assigné : Sans systèmes de site affectés, les groupes de limites ne peuvent être utilisés que pour l'affectation de site.
        • Les groupes de limites sans membres : Les groupes limites ne sont pas applicables pour l'assignation de site ou la recherche de contenu s'ils n'ont pas de membres.
        • Les points de distribution ne servant pas de contenu aux clients : Les points de distribution qui n'ont pas servi de contenu aux clients au cours des 30 derniers jours. Ces données sont basées sur les rapports des clients sur l'historique de leurs téléchargements.
        • Les mises à jour expirées trouvées : Les mises à jour expirées ne s'appliquent pas au déploiement.
      • Une option permet de lancer des actions sur les règles Management Insights. Selon la règle, cette action présente l'un des comportements suivants :
        • Naviguer automatiquement dans la console jusqu'au nœud où vous pouvez réaliser l’action.
        • Naviguer jusqu'à une vue filtrée en fonction d'une requête.

    • Les outils serveur Configuration Manager et les outils client sont maintenant inclus dans la Technical Preview. Retrouvez-les dans le dossier cd.latest\SMSSETUP\Tools sur le serveur du site. Aucune autre installation n'est nécessaire.
    • Pour réduire le nombre d'objets découverts, vous pouvez maintenant exclure des conteneurs spécifiques de la découverte du système Active Directory. Cette fonctionnalité est le résultat des feedbacks UserVoice.
    • Les informations sur l'utilisateur principal sont désormais visibles lorsque vous consultez les membres d'une collection sous Assets and Compliance ou Device Collections.
    • Support d’Azure Resource Manager par le Cloud Distribution Point. Lors de la création d'une instance Cloud Distribution Point, l'assistant offre maintenant l'option de créer un déploiement Azure Resource Manager. Azure Resource Manager est une plate-forme moderne pour la gestion de toutes les ressources de la solution comme une seule entité, appelée groupe de ressources. Lors du déploiement d'un Cloud Distribution Point avec Azure Resource Manager, le site utilise Azure Active Directory (Azure AD) pour s'authentifier et créer les ressources Cloud nécessaires. Ce déploiement modernisé ne nécessite pas le certificat de gestion classique Azure.
    • Lorsque vous utilisez l’installation poussée des clients (client push) pour installer le client Configuration Manager, le serveur du site crée une connexion à distance avec le client pour démarrer l'installation. A partir de cette version, le site peut exiger l'authentification mutuelle de Kerberos en ne permettant pas de revenir à NTLM avant d'établir la connexion. Cette amélioration permet de sécuriser la communication entre le serveur et le client.
    • Les entreprises qui utilisent Windows AutoPilot pour provisionner Windows 10 sur les périphériques joints à Azure Active Directory qui sont connectés au réseau de l’entreprise (On-Premises). Pour installer ou mettre à niveau le client Configuration Manager sur ces périphériques, vous n'avez plus besoin d'un Cloud Distribution Point ou d'un point de distribution On-Prem configuré pour permettre aux clients de se connecter anonymement. Activez plutôt l'option du site pour utiliser les certificats générés par Configuration Manager pour les systèmes de site HTTP, ce qui permet à un client joint à un domaine cloud de communiquer avec un point de distribution HTTP On-Prem.
    • Amélioration du support des communications clientes sécurisées avec Azure Active Directory (Azure AD). On retrouve notamment les nouveautés suivantes :
      • La sécurisation des communications client sans avoir besoin de certificats d’authentification de serveur délivrés via une PKI.
      • Les clients peuvent accéder contenu de manière sécurisée sans avoir besoin de recourir à un compte d’accès réseau. Note pour l’instant le déploiement de système d’exploitation requiert toujours un compte d’accès réseau.
    • Un nouveau tableau de bord Cloud Management fournit une vue centralisée pour l'utilisation de la Cloud Management Gateway (CMG). Lorsque le site est embarqué avec Azure AD, il affiche également des données sur les utilisateurs et les périphériques dans le Cloud. Cette fonctionnalité inclut également CMG connection analyzer pour une vérification en temps réel afin de faciliter le dépannage. L'utilitaire dans la console vérifie l'état actuel du service et le canal de communication par l'intermédiaire du CMG Connection Point vers tous les Management Points qui permettent le trafic CMG.
    • Amélioration de la Cloud Management Gateway :
      • La commande d’installation du client Configuration depuis Internet via la CMG demande moins de propriétés : CCMHOSTNAME et SMSSITECODE dans tous les cas auxquelles il faut ajouter AADCLIENTAPPID et ADDRESOURCEURI pour l’authentification Azure AD. Vous pouvez éventuellement ajouter SMSMP lorsque le client revient sur le réseau interne.
      • Il est maintenant possible de télécharger du contenu depuis la CMG et non plus uniquement un Cloud Distribution Point. Vous devez activer l’option suivante sur la CMG : Allow CMG to function as a cloud distribution point and serve content from Azure storage
      • Lorsque vous créez une CMG pour authentifier des clients Azure AD, il n’est plus nécessaire de spécifier un certificat racine. Ce prérequis reste toujours nécessaire si vous utilisez l’authentification via des certificats.
    • Vous pouvez maintenant effectuer des copier/coller depuis le panneau Asset details des vues Deployment et Distribution Status de l’espace Monitoring.
    • Amélioration du tableau de bord Surface en affichant maintenant une liste de périphériques pertinents lorsque des sections de graphique sont sélectionnées. Vous pouvez cliquer sur la tuile Percent of Surface Devices afin d’ouvrir une liste de périphériques surface. Vous pouvez cliquer sur une barre dans la tuile Top Five Firmware Versions afin d’ouvrir une liste des périphériques surface avec cette version de firmware spécifique. Lorsque vous visualisez ces listes de périphériques à partir du tableau de bord Surface, vous pouvez cliquer avec le bouton droit de la souris sur un périphérique et effectuer des actions.

    Co-Management

    • Support de l’interconnexion de plusieurs hiérarchies vers un seul tenant Azure Active Directory et Microsoft Intune
    • Le Co-Management supporte maintenant la transition de
      • La configuration du périphérique par Microsoft Intune. Ceci vous laisse la possibilité de déployer des stratégies MDM tout en continuant de déployer des applications avec Microsoft Intune. La transition de cet élément déplace également la configuration de l'accès aux ressources et de protection des clients, qui constituent un sous-ensemble de la configuration des périphériques. Lorsque vous transférez cet élément, vous pouvez toujours déployer les paramètres ConfigMgr vers des périphériques cogérés, même si Intune est l'autorité de configuration des périphériques. Cette exception peut être utilisée pour configurer les paramètres requis par votre organisation mais qui ne sont pas encore disponibles dans Intune. Spécifiez cette exception sur une baseline de configuration. Activez l'option "Always apply this baseline even for co-managed clients" lors de la création de la baseline ou dans l'onglet Général des propriétés d'une baseline existante.
      • La charge de travail Office 365 de Configuration Manager vers Microsoft Intune pour le Co-Management. Microsoft a introduit un nouvelle condition globale « Are Office 365 applications managed by Intune on the device »
      • Les applications mobiles/modernes avec Microsoft Intune tout en continuant à utiliser Configuration Manager pour déployer les applications Win32. Pour transférer la charge de travail des applications modernes, allez à la page des propriétés du Co-Management. Déplacez la barre de défilement de Configuration Manager vers Pilote ou All. Après la transition de cette charge de travail, toutes les applications disponibles déployées à partir d'Intune sont disponibles dans le portail de l'entreprise. Les applications que vous déployez à partir du Configuration Manager sont disponibles dans le Software Center.
    • A partir de cette version, les périphériques co-gérés avec Microsoft Intune, synchroniseront les stratégies MDM lorsque vous initiez l’action Download computer policy depuis les notifications clientes de la console d’administration.

    Inventaire et Reporting

    • CMPivot est un nouvel utilitaire dans la console qui permet d'accéder en temps réel à l’état des périphériques dans votre environnement. Il lance immédiatement une requête sur tous les périphériques actuellement connectés dans la collection cible et renvoie les résultats. Vous pouvez ensuite filtrer et regrouper ces données dans l'outil. En fournissant des données en temps réel à partir de clients en ligne, vous pouvez répondre plus rapidement aux questions des entreprises, résoudre les problèmes et répondre aux incidents de sécurité. Par exemple, pour atténuer les vulnérabilités Spectre, l'une des exigences est de mettre à jour le BIOS du système. Vous pouvez utiliser CMPivot pour interroger rapidement les informations du BIOS du système et trouver les clients qui ne sont pas en conformité. Vous pouvez exécuter à partir du résultat des actions comme la prise en main à distance, l’explorateur de ressources et l’exécution de scripts.
    • La consultation des rapports de conformité aux mises à jour logicielles inclut traditionnellement les données des clients qui n'ont pas récemment contacté le site. Un nouveau rapport vous permet de filtrer les résultats de conformité pour un groupe de mise à jour logicielle spécifique par clients "sains". Ce rapport montre l'état de conformité plus réaliste des clients actifs dans votre environnement. Pour afficher le rapport, accédez à Monitoring – Reporting et exécutez Compliance 9 - Overall health and compliance. Ce rapport affiche le nombre total de clients sains vs le total des clients, l’aperçu de la conformité et le TOP5 des mises à jour avec le plus de clients non conformes.
    • Amélioration de l’inventaire matériel avec notamment les valeurs pour les integer larges. La limite actuelle était de 4,294,967,296 (2^32). Microsoft passe à 18,446,744,073,709,551,616 (2^64). Ce qui permet de traiter des valeurs plus larges notamment pour les éléments comme l’espace disque total.
    • Dans Configuration Manager 1710, la valeur par défaut utilisée pour les vues d’inventaire étaient passée de megabytes (MB) à gigabytes (GB). Avec l’amélioration des valeurs limitées pour l’inventaire matériel (large integer), la valeur a été repassée en MB.

     

    Gestion du contenu

    • Il est maintenant possible de relocaliser la librairie de contenu sur un autre emplacement de stockage. Cela peut être sur un autre disque du serveur de site, sur un serveur séparé ou sur des disques à tolérance de panne dans un SAN. Ceci est un nouveau prérequis pour la haute disponibilité du rôle de serveur de site.
    • Les Pull Distribution Points supporte les Cloud Distribution Points comme source. Le Pull DP doit avoir un accès internet et doit pouvoir communiquer avec Microsoft Azure. Ce scénario peut être utile lorsque le lien WAN est plus rapide que le lien LAN qui relie le Pull DP aux points de distribution internes.
    • Microsoft permet le support de LEDBAT par les points de distribution. Windows Low Extra Delay Extra Delay Background Transport (LEDBAT) est une fonctionnalité de Windows Server pour aider à gérer les transferts réseau en arrière-plan. Pour les points de distribution fonctionnant sur les versions supportées de Windows Server, vous pouvez activer une option pour aider à ajuster le trafic réseau. Les clients n'utilisent la bande passante réseau que lorsqu'elle est disponible. Le point de distribution doit exécuter Windows Server 1709 et les clients

    • Support du téléchargement partiel par la fonctionnalité Client Peer Cache pour réduire l’utilisation WAN. Les sources Client Peer Cache peuvent maintenant diviser en différentes parties pour minimiser l’impact sur le WAN. C’est le Management Point qui fournit au client le détail permettant de suivre les différentes parties du contenu. doivent utiliser Windows 10 1607.
    • Les groupes de limites incluent maintenant des paramètres additionnels permettant de mieux contrôler la distribution du contenu dans l’environnement :
      • Allow peer downloads in this boundary group est activé par défaut. Le Management Point fournit alors au client la liste des emplacements de contenu incluant la liste des sources client Peer Cache. La désactivation de cette fonctionnalité peut être utile pour les clients VPN ou pour les groupes de limites importants qui ne référencent pas de points de distribution.
      • During peer downloads, only use peers within the same subnet est dépendant du paramètrage ci-dessus. Dans ce cas, le Management Point n’inclut seulement dans la liste des emplacements de contenu, les sources client Peer Cache qui sont sur le même sous-réseau. Ceci peut être significatif pour la création d’un groupe de limites très large qui englobe de plus petits groups de limites ou lorsque vous avez un seul grand groupe de limites pour tous les sites distants.

    Software Center

    • Le Software Center/Centre Logiciels affiche maintenant la prochaine fenêtre de maintenance planifiée. Cette information se trouve dans Installation Status où vous pouvez cliquer dans Upcoming. On retrouve la prochaine fenêtre de maintenance ainsi que les déploiements qui s’exécuteront dans cette plage.
    • Vous pouvez créer un onglet personnalisé dans le Software Center/Centre Logiciels pour ouvrir une page web. Ceci permet d’afficher du contenu à l’utilisateur final comme les informations de contact, de la documentation, etc. Le Software Center utilise les composants d’Internet Explorer pour afficher la page.

    • Lorsque vous utilisez le Remote Control sur un client avec plusieurs moniteurs avec différentes résolutions DPI, le curseur de la souris correspond maintenant correctement entre les moniteurs.
    • Vous pouvez maintenant contrôler si le lien Open the Application Catalog web site apparaît dans le nœud Installation Status du Software Center.

     

    Déploiement d’applications

    • Vous pouvez maintenant créer un déploiement par phases (Phased Deployments) avec des phases configurées manuellement.

    • Intégration de l’outil de personnalisation Office (OCT) avec l’assistant Office 365 de la console. Vous pouvez donc dynamiquement configurer les paramétrages de gestion lorsque vous créez l’application Office 365 depuis la console. Ce dernier est mis à jour dès lorsqu’une nouvelle version d’Office 365 est publiée afin de bénéficier des nouveaux paramétrages de gestion dès lors qu’ils sont disponibles.
    • Les rôles du catalogue d’applications ne sont plus nécessaires pour afficher les applications disponibles en libre-service à l’utilisateur dans le Software Center. Le client utilise maintenant le Management Point pour obtenir l’information ce qui de mieux gérer la charge dans les gros environnements en utilisant les Boundary Groups.
    • Vous pouvez maintenant provisionner une application moderne Windows 10 sur des périphériques pour tous les utilisateurs. Auparavant, Configuration Manager ne supportait que les applications installées pour les utilisateurs.
    •  Configuration Manager supporte maintenant le déploiement d’applications avec les nouveaux packages d’application Windows 10 (MSIX) et des bundles d’application (msixbundle). La dernière version Insider (17682) de Windows 10 supporte ces nouveaux formats.

     

    Mises à jour logicielles

    • Intégration des mises à jour logiciels tiers permettant de vous abonner aux catalogues partenaires dans la console Configuration Manager et de publier les mises à jour de WSUS. Vous pouvez ensuite déployer ces mises à jour à l'aide du processus de gestion des mises à jour logicielles existantes. Ceci est l’intégration et l’amélioration de ce que System Center Updates Publisher (SCUP) faisait auparavant. Configuration Manager peut notamment automatiquement configurer le client et déployer le certificat utilisé pour signer les mises à jour logicielles.

    • L’assistant de nettoyage WSUS décline maintenant les mises à jour logicielles qui sont soit expirées soit replacées selon les règles de remplacement.
    • Vous pouvez maintenant filtrer les règles de déploiement automatique pour exclure les architectures comme Itanium et ARM64.
    • Déploiement de mises à jour logicielles sur les périphériques sans avoir téléchargé et distribué le contenu des mises à jour logicielles sur les points de distribution. Ceci permet de gérer les scénarios avec un contenu extrêmement large ou lorsque vous souhaitez que les clients récupèrent systématiquement les mises à jour depuis Microsoft Update. Il est possible qu’un client récupère la mise à jour depuis Microsoft Update et que les autres clients viennent récupérer le contenu via les fonctionnalités BranchCache, PeerCache ou Delivery Optimization.

     

    Déploiement de systèmes d’exploitation

    • Le déploiement par phases (Phased Deployments) est intégré et propose une expérience de supervision native. A partir de l’espace Monitoring – Deployments, vous pouvez sélectionner Phased Deployment Status. Ce tableau de bord comprend des informations telles que le nombre total de périphérique ciblé dans la phase, l’état de la phase (déploiement créé, en attente, suspendue), l’état de progression du déploiement (success, In progress, Error, Requirements Not Met, Unknown).
    • Le modèle de séquence de tâches pour la mise à niveau de Windows 10 inclut maintenant u nouveau groupe avec des actions recommandées à ajouter en cas d’échec dans le processus de mise à niveau. On retrouve la capacité de collecter des logs, d’exécuter des outils de diagnostic (Windows SetupDiag, etc.)
    • Amélioration du serveur PXE intégré à Configuration Manager via l’option Enable a PXE responder without Windows Deployment Service. L’option créé automatiquement les exceptions dans le parefeu Windows. En outre, on retrouve une amélioration de la journalisation.
    • Amélioration du support des communications clientes sécurisées. Le compte d’accès réseau (Network Access Account) n’est plus requis pour le téléchargement du contenu depuis un point de distribution dans les scénarios suivants :
      • Des séquences de tâches (OS ou personnalisées) qui s’exécutent depuis un média de démarrage ou PXE
      • Des séquences de tâches (OS ou personnalisées) qui s’exécutent depuis le Software Center
    • Le produit masque les données sensibles stockées dans les variables de séquence de tâches : Dans la tâche Set Task Sequence Variable, sélectionnez la nouvelle option Do not display this value. Par exemple, lorsque vous spécifiez un mot de passe. Les comportements suivants s'appliquent lorsque vous activez cette option :
      • La valeur de la variable n'est pas affichée dans smsts.log.
      • La console Configuration Manager et le fournisseur SMS traitent cette valeur de la même manière que d'autres secrets tels que les mots de passe.
      • La valeur n'est pas incluse lorsque vous exportez la séquence de tâches.
      • L'éditeur de séquence de tâches ne lit pas cette valeur lorsque vous modifiez l'étape. Retapez la valeur pour faire des changements.
    • Masquer le nom du programme pendant la tâche Run Command: Pour empêcher l'affichage ou l'enregistrement de données potentiellement sensibles, configurez la variable de séquence de tâches OSDDoNotLogCommand à TRUE. Cette variable masque le nom du programme dans le fichier smsts.log pendant une étape de séquence de tâche de ligne de commande d'exécution.
    • Vous pouvez spécifier des paramètres de ligne de commande additionnels à DISM en utilisant la variable OSDInstallDriversAdditionalOptions. Vous devez pour cela activer l’option Install Drivers package via running DISM with recurse sur la tâche Apply Driver Package.
    • Les tâches Enable BitLocker et Pre-Provision BitLocker incluent maintenant une option Use full disk encryption pour chiffrer l’ensemble du disque et non plus l’espace disque utilisé.

     

    Conformité des paramétrages

    • Ajout de trois paramétrages Windows Defender SmartScreen aux paramétrages de conformité pour le navigateur Microsoft Edge:
      • Allow SmartScreen permet de spécifier si SmartScreen est autorisé
      • User can override SmartScreen prompt for sites spécifie si l’utilisateur peut outrepasser l’avertissement de Windows Defender SmartScreen pour un site.
      • User can override SmartScreen prompt for files définit si l’utilisateur peut outrepasser l’avertissement de Windows Defender SmartScreen pour un fichier.
    • Cette version comprend une préversion des extensions SCAP. Pour rappel, Security Content Automation Protocol (SCAP) fournit une méthode de gestion des standards afin de mesurer la conformité, la vulnérabilité. SCAP est une suite de certaines normes ouvertes qui, ensemble, offrent une méthode uniforme d'analyser les systèmes informatiques et automatiquement identifier, mesurer et évaluer les problèmes potentiels de sécurité. SCAP est une initiative gouvernementale du NIST (National Institute of Standard and Technology) afin de construire le FDCC (Federal Desktop Core Configuration).

     Plus d’informations sur cette version : What’s new in version 1806

    Pour obtenir les éléments relatifs au processus de mise à jour : https://docs.microsoft.com/en-us/sccm/core/servers/manage/updates