Jean-Sébastien DUCHENE Blog's

Actualité, Tips, Articles sur l'ensemble des Technologies Microsoft (SCCM/SMS, EMS, Microsoft Intune, Microsoft Azure, Windows 10, SCOM, MDOP...)
    • 18/11/2019

    Mise à jour (1.4.32.0) d’Azure Active Directory Connect (AADC)

    Microsoft vient de publier une mise à jour (1.4.32.0) à Azure AD Connect. Azure Active Directory Connect (AADC) est anciennement DirSync et Azure Active Directory Sync (AAD Sync). Pour rappel, l’outil a été développé afin de fournir aux utilisateurs une identité hybride commune à travers les services on-premises et cloud en utilisant Active Directory connecté à Azure Active Directory. Ainsi, les utilisateurs peuvent bénéficier d’une identité commune pour les comptes à travers Office 365, Intune, des applications SaaS et des applications tierces.

    La version n’est pour l’instant disponible que via le mécanisme de mise à niveau automatique.

    Cette version corrige un problème avec les périphériques Hybrid Azure AD existants. Cette version contient une nouvelle règle de synchronisation des périphériques qui corrige ce problème. Notez que ce changement de règle peut entraîner la suppression de périphériques obsolètes d'Azure AD. Ceci n'est pas préoccupant, car ces objets ne sont pas utilisés par Azure AD lors de l'accès conditionnel. Pour certains clients, le nombre de périphériques qui seront supprimés par cette modification de règle peut dépasser le seuil de suppression.

    En raison d'un changement de schéma interne dans cette version d'Azure AD Connect, si vous gérez les paramètres de configuration de la relation de confiance ADFS avec MSOnline PowerShell, vous devez mettre à jour votre module MSOnline PowerShell à la version 1.1.183.57 ou supérieure

     

    Plus d’informations sur les fonctionnalités et les différences : https://docs.microsoft.com/en-us/azure/active-directory/hybrid/reference-connect-version-history#14320

    Télécharger Microsoft Azure Active Directory Connect

    • 17/11/2019

    Publication de la version de Novembre 2019 d’Azure Data Studio

    Microsoft publie une nouvelle version (Novembre 2019) d’Azure Data Studio, précédemment connu sous le nom SQL Operations Studio. Azure Data Studio offre une expérience d'éditeur moderne avec IntelliSense, des extraits de code, l'intégration du contrôle des sources et un terminal intégré.

    Les utilisateurs passent de plus en plus de temps à travailler sur l'édition des requêtes que sur toute autre tâche avec SQL Server Management Studio. Pour cette raison, Azure Data Studio a été conçu pour se concentrer en profondeur sur les fonctionnalités les plus utilisées, avec des expériences supplémentaires disponibles comme des extensions optionnelles. Cela permet à chaque utilisateur de personnaliser son environnement comme il utilise le plus souvent.

    Cette version intègre les changements suivants :

    • Support de SQL Server 2019 avec notamment le déploiement et la gestion des clusters Big Data SQL Server 2019 avec l’assistant et le tableau de bord de contrôle mais aussi la gestion des listes de contrôle d’accès HDFS, l’ajout de point de montage en utilisant la boite de dialogue HDFS tiering,etc.
    • De nouvelles fonctionnalités pour les notebooks avec notamment
      • Les notebooks PowerShell se voient doter du support de PowerShell Kernel,
      • Le déploiement/repliement des cellules de code,
      • L’amélioration des performances dans les notebooks
    • Support de Jypyter Book
    • Disponibilité générale des extensions Schema Compare et SQL Server Dacpac
    • Annonce de l’extension Visual Studio IntelliCode
    • Corrections de bugs

     

    Quand utiliser Azure Data Studio ?

    • Vous devez utiliser macOS ou Linux
    • Vous devez vous connecter sur un cluster big data SQL Server 2019
    • Vous passez plus de temps à éditer ou exécuter des requêtes
    • Vous voulez de visualiser rapidement des graphiques et de visualiser des ensembles de résultats
    • Vous avez un besoin minimal d’assistants
    • Vous n'avez pas besoin de faire de configuration administrative profonde

    Quand utiliser SQL Server Management Studio ?

    • Vous passez la plupart de votre temps à des tâches d'administration de bases de données.
    • Vous avez besoin de faire une configuration administrative importante
    • Vous effectuez la gestion de la sécurité, y compris la gestion des utilisateurs, l'évaluation des vulnérabilités et la configuration des éléments de sécurité.
    • Vous utilisez les rapports pour SQL Server Query Store
    • Vous devez faire des optimisations de la performance et utiliser des tableaux de bord
    • Vous avez besoin d'accéder aux serveurs enregistrés et de contrôler les services SQL Server sous Windows

    Plus d’informations : https://cloudblogs.microsoft.com/sqlserver/2019/11/05/the-november-2019-release-of-azure-data-studio-is-now-available/

      

    Pour rappel, ces outils sont disponibles depuis Windows, macOS, et Linux pour permettre de gérer SQL Server, Azure SQL Managed Instance, Azure SQL Database, Azure SQL Data Warehouse, et SQL Server 2019 Big Data Clusters.

    Télécharger Azure Data Studio

    • 17/11/2019

    Disponibilité Générale de Windows Admin Center 1910

    Microsoft vient d’annoncer la disponibilité générale de la nouvelle interface graphique permettant de gérer les infrastructure Windows Server : Windows Admin Center en version 1910.

    Parmi les nouveautés, on retrouve notamment les capacités :

    • La capacité d’interconnecter les serveurs On-Premises avec les agents Azure Arc. Pour rappel, Azure Arc fournit un moyen centralisé de gestion unifiée et de gouvernance à partir de Microsoft Azure
    • Intégration avec Azure Security Center pour les scénarios de supervision de menaces de bout en bout pour les charges de travail dans Azure et On-Premises.  
    • Il est maintenant possible d’activer en quelques clics un ensemble d’alertes par défaut pour être notifier par email de l’état de santé des performances de serveurs et de clusters via Azure Monitor.
    • Azure Extended Networking facilite l'extension des réseaux de serveurs On-Premises et des sous-réseaux IP à Azure sans rompre les dépendances IP. Cette fonctionnalité élimine certaines des complexités de la connexion de réseau On-Prem au cloud.
    • Vous pouvez créer de nouvelles machines virtuelles Azure à partir de l’interface et gagner de la capacité serveur supplémentaire en quelques clics seulement.
    • Storage Migration Service aide à migrer les serveurs de fichiers On-Premises vers Azure et mettre à niveau vers des versions plus récentes de Windows Server dans le processus. En utilisant le WAC, vous pouvez créer des machines virtuelles Azure à la volée pendant la migration, les dimensionner automatiquement, les doter de stockage formaté et les joindre à votre domaine - tout en vous permettant de migrer des systèmes d'exploitation existants, Samba sous Linux et des serveurs autonomes vers les dernières versions des clusters Windows Server et failover.
    • L'intégration avec Azure File Sync vous permet maintenant de configurer Storage Sync Services et de configurer Azure File Sync pour vos serveurs On-Premises sans jamais quitter WAC.
    • Windows Admin Center supporte la création de machines virtuelles à la volée durant la configuration d’un nouveau partenariat de synchronisation asynchrone afin d’utiliser Azure comme site secondaire pour Storage Replica.
    • Preview d’un tableau de bord de suivi des performances (Performance Monitor) d’un serveur.
    • Windows Admin Center supporte maintenant le Live Migration entre des serveurs et des clusters Hyper-V
    • Intégration des outils d’administration IIS dans Windows Admin Center afin d’offrir une simplification de la gestion des applications Web.
    • Windows Admin Center intègre un nouvel outil de supervision des packets afin de faciliter le dépannage et le diagnostic réseau.
    • Intégration de nombreuses améliorations sur les outils par défaut.
    • Intégration d’un assistant permettant de faciliter le déploiement initial des clusters Hyperconvergés (HCI) ainsi que des outils pour la gestion d’Azure Stack HCI et des systèmes hyperconvergés Windwos Server 2019.

    On retrouve aussi de nouvelles extensions partenaires pour Dell EMC et HPE ainsi que la mise à jour d’extensions existantes comme DataON, Lenovo, QCT et Thomas-Krenn.AG.

     

    Pour les entreprises qui utilisent la version 1906 de Windows Admin Center, vous devez mettre à jour vers la version 1910 dans les 30 jours pour rester sous support.

    Télécharger Windows Admin Center 1910

    • 16/11/2019

    [SQL Server] Une série de vidéos et des labs pour introduire SQL Server 2019

    Avec l’arrivée de SQL Server 2019, Microsoft propose une série de vidéos permettant d’appréhender et introduire cette nouvelle version. Parmi les sujets, on retrouve :

    • Introduction à SQL Server 2019
    • Unifiez vos lacs de données avec HDFS
    • Aperçu du déploiement de Clusters Big Data
    • Introduction à la virtualisation de données
    • SQL Server 2019 dans des conteneurs

    Vous pouvez retrouver les vidéos sur la chaine Youtube de SQL Server.

    Outre ces vidéos, Microsoft propose des labs sur les nouvelles fonctionnalités.

    • 15/11/2019

    [SCCM] Attention à vos Boundary Groups si vous utilisez et configurez Delivery Optimization !

    Il y a des habitudes qui peuvent parfois être chamboulées par des nouvelles fonctionnalités et c’est l’objet de cet article aujourd’hui. Si vous utilisez System Center Configuration Manager, vous avez dû définir vos limites (Boundaries) et groupes de limites (Boundary Groups).

    Ces dernières sont utilisées pour différents éléments :

    • Assigner le client à un site
    • Associer des systèmes de site dont notamment :
      • Un ou des point(s) de distribution pour la récupération du contenu
      • Un ou des State Migration Points pour la sauvegarde des données utilisateurs
      • Un ou des Software Update Points pour la récupération des métadonnées des mises à jour logicielles

    Auparavant, j’avais l’habitude de conseiller de bien séparer les groupes de limites en fonction des usages en dédiant :

    • Un groupe de limites pour l’assignation des clients à un site,
    • Un groupe de limites pour l’association du contenu (Points de distribution)
    • Un groupe de limites pour l’association au Software Update Point

    Cette méthode permet facilement de voir comment est configurée l’infrastructure et comment les clients sont gérés pour chacun des éléments administratifs.

    Néanmoins, j’ai récemment découvert que ce Design n’était pas adéquat lors de l’utilisation de Delivery Optimization. Notamment lorsque System Center Configuration Manager est utilisé pour configurer les groupes de Delivery Optimization (Group ID) en fonction des groupes de limites. Cette option (Use Configuration Manager Boundary Groups for Delivery Optimization Group ID) des paramétrages du client est très utile pour la configuration de Delivery Optimization puisqu’elle permet de configurer les groupes DO en fonction du découpage des groupes de limites qui eux même représentent votre découpage réseau/physique.

    Or cette fonctionnalité ne gère pas l’overlapping / la superposition des groupes de limites et ce quel que soit l’usage (assignation du client à un site ou association des systèmes de site). Ainsi si le client appartient à plusieurs groupes de limites, System Center Configuration Manager assigne celui qui a été créé en premier.  Puisqu’en général, j’avais l’habitude de créer le groupe de limites d’assignation au site, qui contient l’ensemble des limites ; tous les clients se voyaient attribuait le même groupe de limites. Ainsi les clients se mettaient à partager le contenu à travers le WAN de l’entreprise, engendrant des surcharges.

    Comment gérer ses Boundary Groups lors de la configuration des groupes de Delivery Optimization par SCCM ?

    Vous avez plusieurs options :

    • Remettre à plat vos Boundary Groups afin d’éviter la superposition et s’assurer qu’un client n’a qu’un seul et unique Boundary Group. Ceci change le design décrit précédemment et attribue toutes les fonctions à chaque Boundary Group représentant l’emplacement physique.
    • Garder un design avec des superpositions de Boundary Groups mais appliquer le paramétrage DORestrictPeerSelectionBy avec une valeur à 1 par l’une des trois méthodes :
      • GPO avec le paramétrage Select a method to restrict Peer Selection
      • MDM avec DeliveryOptimization/DORestrictPeerSelectionBy
      • SCCM 1910 et cocher la case suivante dans les options du groupe de limites : During peer downloads, only use peers within the same subnet.

    Bien que les clients aient potentiellement tous le même identifiant de groupe Delivery Optimization, ce paramétrage permet de forcer la machine à utiliser des clients qui ne sont que sur son sous réseau.

    • 13/11/2019

    Mise à jour (4924) des modèles d’administration d’Office (ADMX/ADML)

    Microsoft vient de publier une mise à jour (4924.1000) des modèles d’administrations (ADMX, ADML) Active Directory et des outils de personnalisation (OCT) pour Office 2016, Office 2019 et Office 365 ProPlus. Les modèles d’administrations pour Active Directory permettent d’ajouter les paramètres permettant de personnaliser les options d’Office 2019. Cette mise à jour permet par exemple de définir si vous laissez afficher els options pour Office Insider dans la partie Fichier > Compte.

    Télécharger Administrative Template files (ADMX/ADML) and Office Customization Tool for Office 365 ProPlus, Office 2019, and Office 2016

    • 13/11/2019

    [Windows 10] Devez-vous déployer les mises à jour intelligente de sécurité (Définitions) même si vous n’utilisez pas Microsoft Defender Antivirus ?

    J’ai une question qui m’a souvent été posée, c’est : Doit-on déployer les mises à jour intelligente de sécurité/mises à jour de définitions si vous utilisez un autre antivirus et que vous n’utilisez donc pas Microsoft Defender Antivirus ?

    Il y a quelques années, on pouvait surement répondre Non même si le principe de précaution pouvait amener à déployer ces mises à jour de définitions au cas où une machine se retrouverait sans l’Antivirus de référence. Cette raison est bien entendu encore valable mais il existe maintenant d’autres raisons qui peuvent amener à devoir déployer ces mises à jour intelligente de sécurité.

    Microsoft/Windows Defender Antivirus peut fonctionner dans trois modes :

    • Activé/Démarré: Aucun autre antivirus est installé ; Microsoft Defender Antivirus est l’antivirus de référence sur la machine.
    • Passif: L’entreprise utilise un autre antivirus mais a décidé d’utiliser Microsoft Defender Advanced Threat Protection (ATP) afin d’offrir une protection supplémentaire (EDR, etc.) fournissant les mises à jour intelligente de sécurité, l’analyse de fichiers et les informations de détection.
    • Désactivé: L’entreprise utilise un autre antivirus sans solution additionnelle.

     

    Par conséquent, vous devez déployer ces mises à jour de définition/sécurité intelligente dans les scénarios suivants :

    • Vous utilisez Windows/Microsoft Defender Antivirus comme antivirus principal
    • Vous utilisez un antivirus tiers ainsi que Microsoft Defender Advanced Threat Protection (ATP)
    • Vous souhaitez assurer une couverture au cas où l’antivirus tiers de référence viendrait à être supprimé de la machine.
    • 12/11/2019

    [Intune] Support prochain du déploiement de certificats via SCEP sur Android Enterprise Dedicated Devices

    Ce mois-ci (novembre 2019), Microsoft va ajouter le support du déploiement de certificats via SCEP sur Microsoft Intune pour les périphériques Android Enterprise dans un mode Dedicated Devices. Il va devenir possible d’utiliser ces certificats comme méthode d’authentification pour les profils Wi-Fi déployés par Microsoft Intune. L’application Microsoft Intune est obligatoire pour permettre le déploiement des certificats

    Un changement va donc être opéré au service :

    • Pour les nouveaux périphériques Android Enterprise Dedicated Devices : Les utilisateurs verront des étapes différentes sur les périphériques pendant l’enregistrement. L’enregistrement commencera toujours comme actuellement (avec QR, NFC, Zero-touch, ou identifiant de périphérique) mais en novembre, il y aura une étape d'installation obligatoire de l'application Microsoft Intune.
    • Pour les périphériques Android existants enregistrés Dedicated Devices : Intune commencera à installer automatiquement l'application Microsoft Intune sur les appareils à partir de début novembre. Vous n'avez pas besoin de faire quoi que ce soit. L'application se téléchargera et s'installera automatiquement sur les périphériques.

     

    Microsoft planifie aussi l’ajout du support des certificats SCEP pour des profils VPN prochainement.

    Plus d’informations sur : Support for SCEP certificates in Android Enterprise dedicated devices

    • 12/11/2019

    Rejoignez-moi à l’Ignite The Tour 2019 Paris pour parler transition vers le poste moderne !

    Demain signe le début de l’événement Microsoft Ignite The Tour organisé par Microsoft à Paris. Pour ma part, j’animerai une session le mercredi 13 de 16h30 à 17h15 sur les bonnes pratiques pour transformer et cibler une gestion moderne des postes de travail. Nous aborderons de nombreux aspects avec notamment des bonnes pratiques pour aborder chaque étape de cette transition.

    Vous pouvez toujours vous inscrire via l’adresse : Microsoft Ignite The Tour

    • 12/11/2019

    Fin de support de Windows 10 1703 Home et Pro

    Aujourd’hui signe la fin de support de Windows 10 1703 pour les éditions Home, Pro, and Pro for Workstations. Ainsi, le Patch Tuesday de novembre 2019 était le dernier pour cette version dans ces éditions et Microsoft ne publiera plus de mises à jour de sécurité. Les éditions Enterprise et Education sont supportées jusqu’en Novembre 2020.

    Microsoft recommande donc la mise à jour des périphériques Windows 10 1803 Pro vers une version ultérieure.

    Vous pouvez pour cela utiliser :

    • System Center Configuration Manager si le périphérique est cogéré en le mettant à jour via les plans de maintenance Windows 10 ou les séquences de tâches
    • Microsoft Intune en créant des anneaux de mises à jour (Update Rings)

    Plus d’informations sur : https://support.microsoft.com/en-us/help/13853/windows-lifecycle-fact-sheet

    • 11/11/2019

    [Windows 10] Pourquoi il est préférable d’utiliser Windows 10 1803 pour faire de l’Hybrid Azure AD Join ?

    Il existe de nombreux avantages à faire passer les machines Windows 10 jointes au domaine Active Directory dans un mode Hybid Azure AD Join ou anciennement Domain Join++ (DJ++). Ce mode permet par exemple d’accéder aux ressources Cloud avec du Single Sign-On (Office 365, etc.). En outre, cela permet de bénéficier de scénarios tels que l’enregistrement automatique dans Microsoft Intune ou l’authentification sur la Cloud Management Gateway de System Center Configuration Manager.
    Pour atteindre cet état, les machines doivent donc s’enregistrer dans Azure Active Directory.

    Normalement, il est possible de rendre Hybrid Azure AD Join une machine Windows 10 à partir de Windows 10 1511/1607.

    Néanmoins, il est préférable de privilégier Windows 10 1803 ou une version ultérieure.

    En effet une machine jointe à Active Directory, peut déjà avoir réalisé un enregistrement (hors Hybrid Azure AD Join) en se connectant à un service porté par Azure AD (tel qu’Office 365). Dans ce cas, la machine remonte comme Azure AD Registered.

    Avant Windows 10 1803, la jointure Hybrid Azure AD engendre des enregistrements dupliqués avec :

    • Un enregistrement Hybrid Azure AD
    • Un enregistrement Azure AD Registered

    Ceci peut rendre difficile :

    • La gestion des machines dans Azure AD du fait des enregistrement dupliqués
    • La gestion des machines par Microsoft Intune car le mauvais enregistrement peut être inséré dans un groupe AAD utilisé pour les déploiements
    • Eviter des problèmes avec Windows Hello for Business.

    A partir de Windows 10 1803 (avec KB4489894) ou ultérieur :

    • Tout état Azure AD Registered existant est automatiquement supprimé une fois que le périphérique est joint en mode Hybrid Azure AD.
    • Vous pouvez empêcher l'enregistrement dans Azure AD de périphérique joint au domaine en ajoutant cette clé de registre - HKLM\SOFTWARE\Politiques\Microsoft\Windows\WorkplaceJoin, "BlockAADWorkplaceJoin"=dword:00000001.

     

    Pour plus d’informations sur l’implémentation d’Hybrid Azure AD Join.

    • 11/11/2019

    [Autopilot] Nouvelle version 3.4 du module PowerShell pour Windows Autopilot

    Michael Niehaus signale des changements sur le module PowerShell pour Windows Autopilot avec l’arrivée de la version 3.4.

    Cette version (à partir de 3.0) introduit de nombreux changements dont un changement dans la logique d’authentification. Auparavant, le module utilisait sa propre logique à partir de cette version, il utilise l’authentification via les classes Graph API Intune. Ceci évite une double authentification lors de la réalisation d’actions sur Microsoft Intune.

    La version 3.2 introduit la cmdlet GetèAutopilotProfileAssignedDevices permettant de lister les périphériques avec un profil spécifique.

    Vous pouvez l’installer avec la cmdlet : Install-Module -Name WindowsAutoPilotIntune

    Télécharger le module WindowsAutopilotIntune

    • 10/11/2019

    [Azure Sentinel] Publication d’un portail Wiki GitHub

    Microsoft vient de créer un portail Wiki sur GitHub pour Azure Sentinel. Ce portail fournit des bonnes pratiques, de la documentation, des exemples pour bien démarrer sur Azure Sentinel. Ce portail est l’endroit idéal pour retrouver des contributions qui viennent de Microsoft ou de la communauté. Outre le Wiki, vous retrouvez aussi des requêtes, des Notebooks, des Playbooks, etc.

    Pour rappel Azure Sentinel est une Security Event Information Management (SIEM) en mode SaaS hébergée sur la plateforme Azure. Pour rappel, une SIEM permet de collecter et rassembler les événements et informations de sécurité afin de donner une visibilité sur les menaces et problèmes éventuels. Azure Sentinel propose des mécanismes d’Intelligence Artificielle (IA) qui permettent d’analyser et détecter les menaces rapidement. Azure Sentinel permet aussi un mécanisme d’investigation et de tracking des activités suspicieuses puis d’automatiser les tâches et les réponses aux menaces. Vous pouvez ajouter des solutions intégrées de collecte d'informations provenant dans Office 365, Azure AD, F5, Azure Information Protection, Cisco, Azure ATP, Amazon Web Services; etc.

    Accéder au :

    • 9/11/2019

    [AD] Est-ce que désactiver des paramètres GPO Utilisateur/Ordinateur rend le traitement plus rapide ?

    Quand on touche aux performances et aux stratégies de groupe (GPO), on s’attaque à un sujet délicat qui fait de longs débats dans les entreprises ! Combien d’entreprises ont initié des études/audits suite à des temps d’ouverture de session utilisateur trop long ? C’est une question que l’on m’a reposé récemment chez un client et je me permets de déterrer un très bon billet de Graeme Bray (PFE Microsoft) qui apporte des éléments de réponse factuels sur une optimisation parfois mis en avant : Est-ce que désactiver les sections Utilisateurs/Ordinateur d’une stratégie spécifique rend le traitement plus rapide ? En gros, est-ce plus intéressant de créer des GPOs spécifiques aux paramètres machines et d’autres spécifiques aux paramètres utilisateurs d’un point de vue performances ! Ceci n’empêche pas que certaines entreprises vont préférer cette organisation d’un point de vue utilisation.

    Pour ceux qui ne souhaitent pas passer 5 à 10 minutes à trouver les éléments intéressants de son étude, je peux déjà vous répondre que la séparation des paramétrages Utilisateurs et Ordinateurs n’ont quasiment pas d’impact sur les performances de traitement.

    Pour plus d’informations, je vous invite à lire son billet : Does Disabling User/Computer GPO Settings Make Processing Quicker?

    • 9/11/2019

    [OneDrive] Un script pour vous aider à activer la fonction de redirection des dossiers connus

    Je vous partage aujourd’hui le script de Carter Green (MSFT) qui permet de vous aider à l’activation et la mise en œuvre de la fonction de redirection des dossiers connus apportés par OneDrive. Ce script peut être exécuté manuellement, par System Center Configuration Manager ou Microsoft Intune. Son intérêt est qu’il va réaliser une évaluation avec notamment :

    • L’éligibilité à la fonctionnalité de redirection des dossiers connus (Known Folder Move)
    • Le détail des éléments à déplacer (Nombre d’objets, taille du contenu dans chaque dossier connu)
    • Etat de la fonctionnalité Known Folder Move
    • Etat des GPOs Known Folder Move

    Note : Vous devez renseigner l’identifiant du tenant.

    Obtenir plus d’informations et le script Windows Known Folder Move (KFM) deployment

    • 8/11/2019

    [Autopilot] Déployer des packs de langues, des configurations, des fonctionnalités à la demande sur les machines provisionnées avec Windows Autopilot

    Michael Niehaus (MSFT) a publié il y a quelques temps deux billets très intéressants permettant d’étendre les capacités de configuration offertes par Windows Autopilot et Microsoft Intune nativement. Pour rappel, Windows AutoPilot est l’équivalent du programme Apple Device Enrollment Program (DEP). Il permet de pré-provisionner des périphériques sans action particulière de la part de l’utilisateur. On peut donc acheter le périphérique et le faire livrer directement à l’utilisateur. Ce dernier le démarre et il se configure tout seul avec les éléments nécessaires pour l’entreprise.

    Parmi les éléments qui peuvent être limités, on retrouve :

    • Personnaliser correctement le menu démarrer
    • Configurer le fond d’écran
    • Configurer le fuseau horaire
    • Supprimer les applications modernes/universelles par défaut.
    • Installer le client OneDrive en mode machine
    • Désactiver l’icône Microsoft Edge.
    • Installer des packs de langues
    • Installer les fonctionnalités à la demande
    • Configurer les langues

    Pour répondre à ce besoin, Michael propose d’utiliser un installeur MSI qui effectue ces opérations et qui est déployé par Microsoft Intune aux machines Windows 10 provisionnés avec Windows Autopilot. Il donne des exemples pré-fait avec Wix Toolkit sur son GitHub.

    Lire :

    Configuring more Windows 10 stuff via Windows Autopilot using an MSI

    • 8/11/2019

    [SCM] Preview des baselines pour Microsoft Edge (Chromium) version 78

    Microsoft vient de publier la première version des baselines de paramétrages de sécurité pour Microsoft Edge (Chromium) version 78. On y retrouve les nouveaux paramétrages de cette nouvelle Build. Ces dernières s’utilisent avec Security Compliance Toolkit (SCT). Les lignes de base permettent de vérifier la conformité d’une application vis-à-vis des bonnes pratiques et recommandations Microsoft.

    Ces paramètrages sont bien distincts de ceux de Microsoft Edge classique présents dans la baseline de Windows 10. On y retrouve 205 paramétrages de stratégie de configuration ordinateur et 190 paramétrages de stratégie de configuration utilisateur.

    Plus d’informations sur l’article suivant : https://techcommunity.microsoft.com/t5/Microsoft-Security-Baselines/Security-baseline-DRAFT-for-Chromium-based-Microsoft-Edge/ba-p/949991

     Télécharger Security baseline (DRAFT) for Chromium-based Microsoft Edge, version 78

    • 7/11/2019

    [SCCM/Windows 10] Afficher des notifications pour inciter l’utilisateur à redémarrer, installer une nouvelle version de Windows 10 ou changer son mot de passe

    Martin Bengtsson (Microsoft MVP) a publié une solution que je trouve particulièrement intéressante puisqu’elle permet d’afficher une notification (toast) sur des machines Windows 10 pour gérer un des scénarios suivants :

    • Inciter l’utilisateur à redémarrer sa machine
    • Inciter l’utilisateur à changer son mot de passe qui s’apprête à expirer
    • Inciter l’utilisateur à exécuter une mise à niveau pour une nouvelle version de Windows 10

    C’est ce dernier scénario que je trouve particulièrement intéressant car il peut être utilisé pour :

    • Inciter l’utilisateur à lancer lui-même la mise à niveau
    • Préparer et Installer la mise à niveau de manière silencieuse puis bloquer le redémarrage et inciter l’utilisateur à redémarrer pour finaliser les dernières étapes.

    Plus d’informations sur : Windows 10 Toast Notification Script

    • 7/11/2019

    [Azure AD] Attention aux stratégies d’accès conditionnel par défaut !

    Depuis plusieurs semaines, vous avez pu voir apparaître des stratégies d’accès conditionnel proposées par défaut dans Azure Active Directory. Actuellement en Preview, on retrouve notamment :

    • Baseline policy: Require MFA for Admins
    • Baseline policy: End user protection
    • Baseline policy: Block legacy Authentication
    • Baseline policy: Require MFA for Service Management

    Je ne détaillerais pas chacune d’entre elle mais la première qui demande l’authentification à facteurs multiples pour les administrateurs, peut être dangereuse. Elle s’applique à tous les comptes qui disposent des rôles :

    • Global Administrator
    • SharePoint Administrator
    • Exchange Administrator
    • Conditional Access Administrator
    • Security Administrator
    • Helpdesk Administration/Password Administrator
    • Billing Administrator
    • User Administrator

    La particularité de ces stratégies est qu’il n’est pas possible d’exclure des utilisateurs. Ainsi, elle s’applique à tous les utilisateurs ayant ces rôles. Ceci inclut : les comptes de service ou les comptes de secours (pour la reprise en main du tenant en cas de problème.

    Je vous recommande d’être très précautionneux en activant cette stratégie et peut être créer votre stratégie qui vous permettra d’exclure certains comptes utilisateurs.

    • 6/11/2019

    [Teams] Attention de bien suivre les mises à jour du client sous peine de bloquer vos utilisateurs !

    Microsoft vient d’annoncer un changement concernant la stratégie de mise à jour du client Microsoft Teams. Microsoft met à jour son client toutes les deux semaines sans pour autant impacter les utilisateurs qui ne réalisent pas correctement la mise à jour.

    A partir de maintenant, Microsoft va devenir plus agressif par différents moyens :

    • L’affichage d’une bannière incitant les utilisateurs à mettre à jour le client Teams s’il ne l’est pas
    • Lorsque la version utilisée a plus de 3 mois, les utilisateurs arriveront sur une page bloquante proposant de mettre à jour le client maintenant, de contacter l’administrateur de l’entreprise, de continuer en utilisant Teams sur le Web.

    Microsoft avertira les administrateurs par un message dans le Centre de Messages Office 365 si des utilisateurs rentrent dans un de ces deux scénarios.

    Le client peut ne pas se mettre à jour automatiquement dans l’un des cas suivants :

    • Logiciel antivirus (et autres applications) bloquant la mise à jour des équipes
    • La lenteur ou la petite taille des liens réseau peuvent nécessiter des mises à jour manuelles/contrôlées.
    • L’utilisateur lance le client Teams principalement pour les appels et les réunions - les mises à jour n’ont pas lieu pendant les appels et les réunions. Si l'utilisateur ferme Teams après des appels ou des réunions, le client ne peut pas se mettre à jour.
    • Utilisation d’un chemin d'installation non standard : Ceci nécessite des mises à jour manuelles

    Plus d’informations sur : Teams update process

    • 6/11/2019

    [Azure ATP] Les nouveautés d’Octobre 2019

    Azure ATP étant un service Cloud, on retrouve des mises à jour de service continuelle. Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

    • La version 2.99 apporte des améliorations et des corrections de bugs sur les capteurs mais aussi l’ajout de notifications depuis l’interface utilisateur sur la chronologie d’alerte pour signaler la disponibilité du portail Cloud App Security.

    • La version 2.98 apporte des améliorations et des corrections de bugs sur les capteurs mais aussi l’amélioration de l’alerte sur les attaques brutes forces suspectées avec l'utilisation d'analyses supplémentaires et d'une logique de détection améliorée pour réduire le nombre de résultats d'alertes bégnines True Positives (B-TP) et faux positifs (FP).

    Plus d’informations sur : What's new in Azure Advanced Threat Protection (Azure ATP)

    • 5/11/2019

    [Azure] Les annonces au 31 octobre 2019

    Voici le récapitulatif des annonces faites par Microsoft concernant sa plateforme Microsoft Azure.

    Parmi les annonces, on retrouve notamment :

    General

     

    Azure Active Directory

    • Les nouveautés d’Azure Active Directory en Octobre 2019.
    • Arrivée de 16 nouveaux rôles dans Azure Active Directory permettant de gérer les droits d’accès aux différents services :
      • Authentication administrator : Affichez, définissez et réinitialisez les informations et les mots de passe des méthodes d'authentification pour tout utilisateur non administrateur.
      • Azure DevOps administrator : Gérer la politique et les paramètres d'organisation de DevOps Azure.
      • B2C user flow administrator : Créer et gérer tous les aspects des flux d'utilisateurs.
      • B2C user flow attribute administrator : Créez et gérez le schéma d'attributs disponible pour tous les flux utilisateur.
      • B2C IEF Keyset administrator : Gérer les secrets pour la fédération et le cryptage dans le cadre de l'Identity Experience Framework.
      • B2C IEF Policy administrator : Créer et gérer les politiques du cadre de confiance dans le cadre de l'expérience de l'identité.
      • Compliance data administrator : Créez et gérez des données et des alertes de conformité.
      • External Identity Provider administrator : Configurer les fournisseurs d'identité pour une utilisation en fédération directe.
      • Global reader : Affiche tout ce qu'un administrateur Global peut voir sans pouvoir modifier ou changer.
      • Kaizala administrator : Gérer les paramètres pour Microsoft Kaizala.
      • Message center privacy reader : Lisez les messages du centre de messagerie, les messages de confidentialité des données, les groupes, les domaines et les abonnements.
      • Password administrator : Réinitialiser les mots de passe pour les non-administrateurs et les administrateurs de mots de passe.
      • Privileged authentication administrator : Affichez, définissez et réinitialisez les informations de méthode d'authentification pour tout utilisateur (administrateur ou non administrateur).
      • Security operator : Crée et gère les événements de sécurité.
      • Search administrator : Créez et gérez tous les aspects des paramètres de recherche Microsoft.
      • Search editor : Créez et gérez le contenu éditorial tel que les signets, les questions et réponses, les emplacements, le plan d'étage.
    • Disponibilité Générale des librairies d’authentification Microsoft (MSAL) pour Android, iOS et MacOS.

    Azure Computer

    Azure Network

    Azure Storage

    Azure SQL

    Azure Key Vault

    • Les références Key Vault peuvent être utilisées avec les applications App Service et Azure Functions sans demander de changement dans le code de l’application. La référence est définie dans les paramétrages de l’application pour faire référence à un secret géré dans Azure Key Vault.

    Operations Management Suite (OMS)

    Azure Monitor

    Azure Data

    Azure IoT

    Azure Blockchain

    Azure Stream Analytics

    Autres services

     

     

    • 5/11/2019

    [Azure AD] Les nouveautés d’Azure Active Directory en Octobre 2019

    Microsoft a introduit un ensemble de nouveautés dans Azure Active Directory en octobre 2019.

    Microsoft apporte les nouveautés suivantes :

                   Vous pouvez ensuite activer le déploiement graduel pour vers PassThrough Authenticaton (PTA) (il vous faut au moins un agent pour celui-ci), Password Hash Synchronization, et Seemless Single Sign-On

                   Vous pouvez ensuite ajouter les groupes choisis. Ces derniers ne doivent pas être des groupes dynamiques ou imbriqués.

     

     

     

    On retrouve les modifications de service suivantes :

     

    Plus d’informations sur : What’s new Azure AD

    • 4/11/2019

    [AIP] Disponibilité Générale de la classification dans Outlook sur le Web

    Après le scanner, le client Office 365 ProPlus, voici qu’Outlook sur le Web (OWA) intègre les labels/étiquettes de confidentialité directement dans son interface pour permettre la classification et la protection via Azure Information Protection.

    Une fois que l’entreprise a défini et configuré les labels/étiquettes et stratégies de confidentialité, les mêmes étiquettes sont publiées et mises à disposition dans OWA.

    Microsoft prépare l’intégration sur le reste des applications Office sur le Web ainsi que sur l’application Outlook sur iOS.

    Plus d’informations sur : https://support.office.com/en-us/article/apply-sensitivity-labels-to-your-documents-and-email-within-office-2f96e7cd-d5a4-403b-8bd7-4cc636bae0f9#ID0EAEAAA=Web