Jean-Sébastien DUCHENE Blog's

Actualité, Tips, Articles sur l'ensemble des Technologies Microsoft (SCCM/SMS, EMS, Microsoft Intune, Microsoft Azure, Windows 10, SCOM, MDOP...)
    • 25/6/2019

    [AIP] Support de TLS 1.2 et fin de support des clients AIP

    Microsoft vient d’annoncer qu’à partir de maintenant, Azure Information Protection ne supporte que TLS 1.2 uniquement. Ceci a un impact sur les clients Azure Information Protection puisque les versions inférieures à 1.4 n’auront plus la capacité de récupérer les stratégies à partir du service AIP.

    Ces versions ne sont déjà plus supportées depuis plus d’un an et demi.

    • 24/6/2019

    [Azure AD] Impossible de démarrer l’éditeur de règles de synchronisation d’Azure AD Connect

    Je suis tombé sur un problème assez simple mais qui pourrait vous faire perdre du temps, en voulant éditer les règles de synchronisation d’Azure AD Connect. En ouvrant l’outil Azure AD Connect Synchronization Rules Editor, aucune règle n’est listée. Si vous cliquez sur View Errors, une erreur COM est renvoyée :

    Retrieving the COM class factory for remote component with CLSID {835BEE60-8731-4159-8BFF-941301D76D05} from machine AAD failed due to the following error: 80070005 AAD.

    at System.Management.Automation.Internal.PipelineProcessor.SynchronousExecuteEnumerate(Object input, Hashtable errorResults, Boolean enumerate)

    at System.Management.Automation.Runspaces.LocalPipeline.InvokeHelper()

    at System.Management.Automation.Runspaces.LocalPipeline.InvokeThreadProc()

     

    Si vous creusez dans le journal d’événements System, vous pouvez voir un problème de permissions Local Activation.

    Vérifiez donc que vous êtes administrateur local de la machine, puis exécutez l’outil Synchronization Rules Editor en tant qu’administrateur pour résoudre le problème.

    • 23/6/2019

    [Intune] Microsoft désactive temporairement les stratégies de conformité Mobile Threat Defense (MTD)

    Microsoft vient de signaler un problème concernant les stratégies de conformité Mobile Threat Defense (MTD) de Microsoft Intune. Ces dernières ont été désactivées par Microsoft pour l’ensemble des vendeurs MTD pour ne pas être prise en compte les stratégies d’accès conditionnel car la fonctionnalité n’a pas le comportement attendu.

    Si vous installez ou désinstallez une nouvelle application, elle ne sera pas envoyée au connecteur Mobile Threat Defense pour évaluation. Si aujourd'hui vous disposez d'une stratégie de conformité Mobile Threat Defense, les données applicatives les plus récentes n'ont pas été évaluées.

    Il se peut que vous ayez des utilisateurs bloqués de façon inattendue. Si vous souhaitez débloquer un utilisateur ou un groupe, exemptez-le de la stratégie de conformité Mobile Threat Defense. De même, si vous souhaitez débloquer l'ensemble du tenant, supprimez la règle de conformité ou désactivez la plate-forme en allant dans Intune -> Device compliance -> Mobile Threat Defense.

    Microsoft recommuniquera lorsque le problème sera résolu.

    • 23/6/2019

    [AIP] Mise à jour (1.1) du guide d’accélération du déploiement d’Azure Information Protection

    Microsoft a mis à jour (v1.1) son guide permettant le déploiement accéléré et plus aisé d’Azure Information Protection. Le guide revient surtout sur l’élément le plus difficile d’un projet : les prérequis métiers qui doivent être en place pour la réalisation du projet. Il s'agit donc d'un guide pour aider les décideurs et les ITs à comprendre les meilleures façons de déployer Azure Information Protection et d'éviter les erreurs qui pourraient causer des retards dans le déploiement.

    Le guide aborde :

    • Les concepts et éléments
    • La roadmap
    • Les prérequis généraux
    • La phase de découverte
    • La phase de Classification
    • La phase de protection
    • La phase de supervision
    • Les bonnes pratiques

    Télécharger Azure Information Protection Deployment Acceleration Guide

    • 22/6/2019

    [Azure AD] Des kits d’adoption pour les fonctionnalités d’Azure AD

    Microsoft a publié une série de kits d’adoption pour les fonctionnalités proposées par Azure Active Directory. Ces kits d’adoption comprennent des liens afin de répondre à toutes les phases :

    1. Informations basiques de connaissances à propos du produit, service ou des fonctionnalités
    2. Des trainings pour former les personnes qui vont implémenter/déployer la fonctionnalité
    3. Des informations de planification pour guider les grandes entreprises et les assister
    4. Des modèles et des informations à communiquer aux utilisateurs finaux (posters, modèles d’emails, stickers, vidéos, etc.)
    5. Des cahiers de recette et tests
    6. Des ressources pour aider au déploiement
    7. Des éléments pour la gestion opérationnelle, le dépannage et la supervision
    8. Des informations concernant le support et les retours éventuels que vous pourriez effectuer

    Les fonctionnalités suivantes sont couvertes :

    • Azure AD Application Proxy
    • Azure AD B2B
    • Azure AD Company Branding
    • Azure AD Conditional Access (Accès conditionnel)
    • Azure AD Connect Health
    • Azure AD Group Management
    • Azure AD Identity Protection
    • Azure AD Multi Factor Authentication
    • Azure AD Privileged Identity Management
    • Azure AD Seamless Single Sign-On
    • Azure AD User Provisioning

    Télécharger Azure AD Adoption Kits

    • 21/6/2019

    [Intune] Déploiement de profil WiFi en erreur sur des périphériques Android Enterprise Work Profile

    L’équipe Microsoft Intune a publié un billet sur son blog pour signaler un problème sur les profils Wi-Fi à destination des périphériques enregistrés Android Enterprise en mode Work Profile. Le problème semble toucher les profils WiFi qui utilisent des certificats. Ces derniers sont constamment remontés en erreur lorsque les certificats sont basés sur la machine et non sur l’utilisateur. Il semble aussi que le nom de sujet utilisé soit configuré avec CN={{AAD_Device_ID}.

    Microsoft a découvert un problème dans le traitement. Actuellement l’attribut UPN est un prérequis lors de la sélection du certificat lors de la création du profile Wi-Fi.

    Pour résoudre ce problème, il suffit d’ajouter un nom de sujet alternatif (Subject Alternative Name) avec un attribut UPN à votre profile de certificat SCEP basé sur la machine.

    Plus d’informations sur: Support Tip: AE Work Profile Device + Wi-Fi Profile “Error” when Using Device-Based Certs

    • 21/6/2019

    [SCCM 1606-1902] La configuration de la fonctionnalité Server Group ne permet pas de patcher 100% des serveurs en même temps

    Un de mes clients m’a transféré un problème (merci à lui) qui survient sur la fonctionnalité Server Group de System Center Configuration Manager. Pour rappel, cette fonctionnalité permet de configurer les paramètres de groupe de serveurs d'une collection pour définir combien, quel pourcentage ou dans quel ordre les périphériques de la collection installeront les mises à jour logicielles. Vous pouvez également configurer des scripts PowerShell de pré-déploiement et post-déploiement pour exécuter des actions personnalisées.

    Le problème décrit ici touche toutes les versions de System Center Configuration Manager depuis que la fonctionnalité est disponible (1606 à 1902). En l’occurrence, il intervient dans le scénario suivant :

    • Vous configurez une collection avec plusieurs machines.
    • L’option All devices are part of the same server group est activée.
    • Vous configurez les paramétrages pour utiliser mettre à jour 100% des machines au même moment. L’interface permet cette configuration bien qu’elle puisse paraître non censée vis-à-vis des cas d’usages initiaux de la fonctionnalité :

    Le client souhaitait en l’occurrence utiliser la fonctionnalité Server Group pour exécuter des scripts de pré et post déploiement sur un ensemble de machines qui devaient être mises à jour en même temps.  

    Dans ce cas de figure et dans les versions actuelles, la mise à jour est faite de manière séquentielle ; c’est-à-dire une machine après l’autre. Ceci ne correspond pas au comportement attendu.

    Microsoft devrait modifier le comportement dans System Center Configuration Manager 1906. En attendant, vous pouvez appliquer la solution de contournement suivante :

    1. Via SQL Server Management Studio, connectez-vous au serveur de base de données.
    2. Ouvrez le nœud des procédures stockées (stored procedures) et identifiez la procédure SpDeploymentMutex
    3. Cette procédure est responsable de la délivrance du verrou utilisé par la fonctionnalité Server Group.
    4. Sauvegardez la procédure stockée en réalisant un export.
    5. Identifiez ensuite le code suivant dans la procédure :

    if @UseClusterPercentage = 1 or @UseClusterPercentage = 2

            begin

                if @UseClusterPercentage <> 0

                begin

                    set @AllowedCount = @ClusterCount

                end

    1. Remplacez ligne en gras par : if @UseClusterPercentage = 2
    2. Sauvegardez la procédure stockée.
    3. Validez le comportement sur votre infrastructure
    • 20/6/2019

    [Azure AD] Microsoft annonce la fin du MFA Server On-Premises

    Microsoft a annoncé qu’il ne sera plus possible d’effectuer de nouveaux déploiements de MFA Server On-Premises à partir du 1er Juillet 2019. Les entreprises devront donc utiliser l’authentification à facteurs multiples (MFA) fournit par Azure AD MFA.

    Les entreprises qui ont déjà activé un MFA Server On-Premises avant le 1er Juillet 2019 pourront télécharger la dernière version, recevoir les mises à jour futures et générer des activations comme habituellement. Microsoft a pour objectif à longs termes de déprécier MFA Server mais n’a pas fourni de date précise quant à sa fin de vie.

    Azure AD MFA couvre largement les scénarios suivants :

    • Un environnement d’identité Cloud uniquement avec de l’authentification moderne. Ce mode ne requiert aucun prérequis.
    • Des scénarios d’identité hybrides avec Azure AD Connect pour synchroniser ou déférer avec l’environnement On-Premises
    • Pour les applications héritées On-Premises publiées pour un accès Cloud, vous pouvez utiliser Azure AD Application Proxy pour à la fois publier l’application dans le Cloud et offrir les mécanismes d’authentification à facteurs multiples.
    • 20/6/2019

    [Windows] L’observateur d’événements peut se fermer et renvoyer une erreur lors de l’utilisation de vues personnalisées

    Microsoft vient de publier un article dans la base de connaissances concernant un problème touchant Windows 10, Windows Server 2019, Windows Server 2012 R2, Windows 8.1, Windows Server 2012, Windows 7 SP1,

    Lorsque vous essayez de développer, visualiser ou créer des vues personnalisées dans l'Observateur d'événements, vous pouvez recevoir l'erreur "MMC has detected an error in a snap-in and will unload it." et l'application peut cesser de répondre ou se fermer. Vous pouvez également recevoir la même erreur en utilisant Filter Current Log dans le menu Action avec les vues ou journaux intégrés. Les vues intégrées et les autres fonctions de l'Observateur d'événements devraient fonctionner comme prévu.

    Le problème survient suite à l’application du dernier correctif cumulatif :

    • KB4503293LCU for Windows 10, version 1903.
    • KB4503327LCU for Windows 10, version 1809 and Windows Server 2019.
    • KB4503286LCU for Windows 10, version 1803.
    • KB4503284LCU for Windows 10, version 1709.
    • KB4503279LCU for Windows 10, version 1703.
    • KB4503267LCU for Windows 10, version 1607 and Windows Server 2016.
    • KB4503291LCU for Windows 10, version 1507.
    • KB4503276Monthly Rollup for Windows 8.1 and Windows Server 2012 R2.
    • KB4503290Security-only update for Windows 8.1 and Windows Server 2012 R2.
    • KB4503285Monthly Rollup for Windows Server 2012 and Windows Embedded 8 Standard
    • KB4503263Security-only update for Windows Server 2012 and Windows Embedded 8 Standard-
    • KB4503292Monthly Rollup for Windows 7 SP1 and Windows Server 2008 R2 SP1
    • KB4503269Security-only update for Windows 7 SP1 and Windows Server 2008 R2 SP1
    • KB4503273Monthly Rollup for Windows Server 2008 SP2
    • KB4503287Security-only update for Windows Server 2008 SP2

     

    Microsoft travaille sur une résolution d’ici fin juin.

    Une solution de contournement est proposée par Microsoft : KB4508640 Event Viewer may close or you may receive an error when using Custom Views

    • 19/6/2019

    [Windows 10] Windows 10 Enterprise LTSC 2019 se voit proposer la mise à jour vers Windows 10 1903

    Des retours font apparaître que la version de Windows 10 Enterprise LTSC 2019 se voit proposer par erreur, la mise à jour vers Windows 10 1903 via Windows Update. Les versions Long-Term Servicing Channel sont des versions spécifiques supportées pour 10 ans (5 ans de support principal, 5 ans de support étendu) et ciblent les périphériques critiques à usages industriels (Chaine de production, distributeurs de billets, etc.). Ces versions ne doivent pas se faire proposer des versions qui sont dans le canal semestriel et plus généralement aucune mise à niveau vers une version supérieure. La mise à niveau est contrôlée et doit normalement être faite manuellement par l’entreprise.

    Ce bug survient pour deux raisons :

    • Windows 10 Enterprise LTSC 2019 est basé sur Windows 10 1809.
    • Un bug est présent dans le système de détection des mises à jour de la mise à niveau Windows 10 1903 via le nouveau modèle Unified Update Platform (UUP).

    La mise à niveau est affichée dans Windows Update mais n’est ni téléchargée ni installée.

    • 19/6/2019

    [Azure AD] Les nouveautés d’Azure Active Directory en mai 2019

    Microsoft a introduit un ensemble de nouveautés dans Azure Active Directory en mai 2019.

    Microsoft apporte les nouveautés suivantes :

    • On retrouve un rapport d’utilisation et d’aperçu sur les applications d’entreprise pour obtenir des informations sur :
      • Le top des applications utilisées par votre organisation
      • Les applications avec les connexions ayant échouées
      • Le top des erreurs de connexion pour chaque application

    • De nouveaux tutoriaux sont disponibles pour vous aider à configurer le provisionnement des utilisateurs pour les applications cloud suivantes : Comeet, DynamicSignal, KeeperSecurity et Dropbox.
    • Disponibilité Générale du Secure Score Identité dans Azure AD permettant de :
      • Mesurer objectivement votre posture de sécurité sur l'identité, basée sur un score entre 1 et 223.
      • Planifier vos améliorations sur la sécurité de l'identité
      • Passer en revue le succès de vos améliorations en matière de sécurité

    • Disponibilité Générale d’une nouvelle expérience d’enregistrement d’applications permettant une meilleure gestion des applications, un processus simplifié d’enregistrement et des informations de démarrage.
    • Amélioration de l’expérience de création et de gestion des groupes dans le portail Azure AD pour permettre notamment :
      • Le filtrage de base par type d'adhésion et type de groupe.
      • L’ajout de nouvelles colonnes, telles que Source et Adresse e-mail.
      • La possibilité de sélectionner plusieurs groupes, membres et listes de propriétaires pour une suppression facile.
      • La possibilité de choisir une adresse email et d'ajouter des propriétaires lors de la création du groupe.
    • L’API Risky Users d’Azure AD Identity Protection permet maintenant de récupérer l’historique de risque des utilisateurs, de rejeter les utilisateurs à risque et confirmer qu'ils sont compromis.
    • De nouvelles applications fédérées sont ajoutées à la galerie d’applications Azure AD avec notamment : Freedcamp, Real Links, Kianda, Simple Sign, Braze, Displayr, Templafy, Marketo Sales Engage, ACLP, OutSystems, Meta4 Global HR, Quantum Workplace, Cobalt, webMethods API Cloud, RedFlag, Whatfix, Control, JOBHUB, NEOGOV, Foodee, et MyVR.
    • Les administrateurs peuvent maintenant configurer une stratégie de nommage pour les groupes Office 365, en utilisant le portail Azure AD. Cette modification permet d'appliquer des conventions de nommage cohérentes pour les groupes Office 365 créés ou édités par les utilisateurs de l’entreprise :
      • En définissant des préfixes ou des suffixes, qui sont automatiquement ajoutés à un nom de groupe.
      • En téléchargeant un ensemble personnalisé de mots bloqués pour votre organisation, qui ne sont pas autorisés dans les noms de groupe (par exemple, "CEO, Paie, RH").

    • Les administrateurs peuvent maintenant créer des stratégies d'accès conditionnel à utiliser par la page d'enregistrement combinée (MFA + SSPR). Cela comprend l'application de stratégies pour permettre l'enregistrement si :
      • Les utilisateurs sont sur un réseau de confiance.
      • Les utilisateurs présentent un faible risque de connexion
      • Les utilisateurs sont sur un périphérique géré.
      • Les utilisateurs acceptent les conditions générales d'utilisation de l’entreprise (CGU).

     

    On retrouve les modifications de service suivantes :

    • La modification du service Azure AD Application Proxy pour prendre en charge uniquement le protocole TLS 1.2. Microsoft commence la modification du service pour les clients qui utilisent déjà uniquement le protocole TLS 1.2 et ne vont pas voir de différences. La dépréciation de TLS 1.0 et 1.1 est prévue pour le 31 août 2019. Vous devez donc vérifier que les connexions client/serveur et navigateur/serveur supportent TLS 1.2.
    • Disponibilité Générale du support des points de terminaison de l’API Microsoft Graph pour les logs d’activités Azure AD.
    • 18/6/2019

    [Intune] Donner l’accès aux utilisateurs et groupes Azure AD à vos administrateurs même si vous avez limiter l’accès aux utilisateurs standards

    Je vous parlais dans un article précédent de l’option permettant de limiter l’accès à l’annuaire Azure Active Directory aux utilisateurs standards. L’activation de cette option a un impact si vous avez mis en place une délégation dans Microsoft Intune qui se base uniquement sur les droits RBAC internes à Microsoft Intune. Vous pouvez donc vous retrouver avec des utilisateurs administratifs (Help Desk, etc.) qui n’accèdent plus aux utilisateurs et aux groupes bien qu’ils aient accès aux restes des fonctionnalités Intune associés à leurs droits RBAC:

    Note : Vous n’observez pas d’impacts si vous attribuez aussi des rôles Azure Active Directory aux personnes qui gèrent Microsoft Intune.

    Pour contourner ce problème, vous pouvez leur associer un rôle d’annuaire Azure Active Directory. Vous avez le choix entre différents rôles en fonction des capacités que vous souhaitez donner :

    • En lecture seul : Security Reader
    • Action sur les utilisateurs et groupes (réinitialisation de mots de passe, etc.) : User Administrator

    Pour attribuez ce rôle, ouvrez le portail Azure et naviguez dans Azure Active Directory – Users – All Users puis sélectionnez l’utilisateur et entrez dans Directory Role. Choisissez Add Assignement et sélectionnez le rôle d’annuaire souhaité.

    Note : Malheureusement l’association se fait utilisateur par utilisateur et non pas via un groupe.

    L’utilisateur administratif aura à nouveau accès aux espaces liés aux utilisateurs et aux groupes.

    • 18/6/2019

    [SCCM 1902] Aidez Microsoft dans la revue de la traduction de Configuration Manager 1902

    Microsoft fait appel à vous pour améliorer la qualité des traductions utilisées dans System Center Configuration Manager 1902. Le produit est traduit dans 18 langues pour l’interface d’administration et 22 pour l’interface cliente. A chaque version de ConfigMgr, Microsoft ajoute ou met à jour des chaines de caractères qui doivent être traduites.

    Le but est donc d’aider Microsoft à la revue de ces chaines de caractères. Si vous êtes intéressés, vous pouvez :

    1. Télécharger les fichiers CAB de revue des interfaces localisées de CM1902 et dézippez les fichiers.
    2. Choisissez les PDFs qui correspondent aux langues que vous voulez revoir.
    3. Lisez les screenshots et les changements d’interfaces
    4. Envoyez des retours en fonction de votre revue
    5. Dans la description, vous devez inclure :
      1. Le nom du PDF que vous avez revue
      2. L’identifiant de l’objet dans l’interface
      3. La description du retour que vous faites.
      4. Votre commentaire ou votre proposition pour remplacer la chaine.

    Plus d’informations sur : Lost in Translation?

    • 17/6/2019

    [SCCM] La Technical Preview 1906 de System Center Configuration Manager est disponible

    Microsoft vient de mettre à disposition la Technical Preview 1906 (5.0.8842.1000) de System Center Configuration Manager. Pour rappel, ConfigMgr a subi une refonte de sa structure pour permettre des mises à jour aisées de la même façon que l’on peut le voir avec Windows 10. Si vous souhaitez installer cette Technical Preview, vous devez installer la Technical Preview 1804 puis utiliser la fonctionnalité Updates and Servicing (nom de code Easy Setup).

     

    System Center Configuration Manager TP 1906 comprend les nouveautés suivantes :

    Administration

    • Support de Windows Virtual Desktop pour permettre de gérer ces environnements virtuels dans Azure. Pour améliorer les performances du client, ConfigMgr désactive désormais les stratégies utilisateur sur tout périphérique qui autorise ces sessions utilisateurs multiples. Même si vous activez les règles utilisateur, le client les désactive par défaut sur ces périphériques, qui incluent Windows Virtual Desktops et Remote Desktop.
    • La console d’administration retrouve un onglet Maintenance Tasks qui permet de voir si la tâche de maintenance est activée, la planification, la dernière date de démarrage, la dernière date d’exécution et si la tâche s’est exécutée avec succès. Cet onglet est disponible dans Administration – Site Configuration – Sites.

    • Lors de l’application d’une mise à jour Configuration, vous pouvez voir l’état de la mise à niveau de la base de données ConfigMgr dans la partie Installation. Ceci permet de voir si la mise à niveau de la base de données est bloquée par un programme. Vous pouvez voir l’identifiant de session qui bloque la base de données.
    • Microsoft introduit la capacité de spécifier des droits RBAC et des étendues de sécurité sur les dossiers (de collections, d’applications, etc.). Si vous avez accès à un objet dans le dossier mais que vous n'avez pas accès au dossier, vous ne pourrez pas voir l'objet.

    • Le hub communautaire déjà introduit dans des versions précédentes, se voit enrichi. Il permet maintenant la récupération de scripts PowerShell, de rapports, d’applications, et d’objets de configuration. Le hub permet de partager ces objets, mais ne partage aucun contenu source associé aux objets. Par exemple, les images de démarrage, les packages de mise à niveau du système d'exploitation ou les packages de pilotes référencés par une séquence de tâches ne sont pas partagés. Actuellement, le hub ne prend pas en charge les dépendances. Si une séquence de tâches inclut l'étape Installer l'application, les applications référencées ne sont pas partagées. Les mots de passe ou autres secrets sont supprimés d'une séquence de tâches avant le partage.
    • Vous pouvez maintenant activer certains nœuds de la console Configuration Manager pour utiliser le service d'administration. Ce changement permet à la console de communiquer avec le SMSProvider via HTTPS au lieu de via WMI. Cela fonctionne pour les nœuds : Administrative Users, Security Roles, Security Scopes, et Console Connections.
    • Management insights inclut une nouvelle règle qui détecte si vous avez activé la méthode de repli d'authentification NTLM moins sécurisée pour le site.

     

    CMPivot

    • CMPivot permet d’utiliser des opérateurs arithmétiques, d'agrégateurs et de la possibilité d'ajouter des jointures de requête pour permettre l'utilisation simultanée du registre et des fichiers. Les éléments suivants ont été ajoutés : opérateurs (Join, Render), opérateurs scalaires (+, -, *, /, %), fonctions d’agrégation (Percentile(),sumif()) et fonctions scalaires . Pour rappel, CMPivot est un nouvel utilitaire dans la console qui permet d'accéder en temps réel à l’état des périphériques dans votre environnement. Il lance immédiatement une requête sur tous les périphériques actuellement connectés dans la collection cible et renvoie les résultats.
    • Ajout des permissions CMPivot au rôle Security Administrator : Read on SMS Script Run CMPivot on Collection, et Read on Inventory Report.

     

    Cloud et Co-Management

    • Un administrateur ou un opérateur du helpdesk peut désormais se connecter à un client via les outils Remote Control sur une machine sur Internet non présente dans le réseau de l’entreprise via la Cloud Management Gateway.
    • La configuration du Co-Management évolue pour permettre de cibler différentes collections de pilote en fonction des charges de travail que vous souhaitez tester. Ce choix se justifie car vous pouvez avoir besoin de population pilote différent lors du passage des stratégies de conformité, ou des configurations de périphériques (par exemple) sur Microsoft Intune.

    • Un nouveau périphérique cogéré peut maintenant automatiquement s’enregistrer dans Microsoft Intune en utilisant le token périphérique Azure AD. Il n'est pas nécessaire d'attendre qu'un utilisateur se connecte au périphérique pour que l'enregistrement automatique commence. Cette modification permet de réduire le nombre de périphérique ayant le statut d’enregistrement Pending user sign in. Pour supporter ce comportement, les clients doivent exécuter Windows 10 version 1803 ou ultérieur.
    • Microsoft introduit une découverte des groupes d'utilisateurs et les membres de ces groupes dans Azure Active directory (Azure AD). Les utilisateurs trouvés dans les groupes Azure AD qui n'ont pas encore été découverts seront ajoutés en tant que ressources utilisateur dans Configuration Manager. Un enregistrement de ressource de groupe d'utilisateurs est créé lorsque le groupe est un groupe de sécurité.

     

    Client

    • Vous pouvez maintenant fournir un lien direct vers un onglet personnalisé dans le Centre Logiciels/Software Center. Le format doit être le suivant : softwarecenter:page=CustomTab1.
    • La notification pour spécifier qu’un nouveau logiciel est disponible, ne s'affichera qu'une seule fois pour un utilisateur pour une application et une révision donnée. L'utilisateur ne verra plus la notification chaque fois qu'il se connectera. Ils ne verront une autre notification pour une application que si elle a changé.
    • Il est maintenant possible de configurer plus de notifications de compte à rebours pour les redémarrages sur les clients. On retrouve deux paramétrages dans les paramétrages client : Specify the snooze duration for computer restart countdown notifications (hours) et Display a temporary notification to the user that indicates the interval before the user is logged off or the computer restarts (minutes).

    • Basé sur les retours UserVoice, les catégories d'utilisateurs pour les déploiements d'applications ciblées par périphérique apparaissent désormais sous forme de filtres dans le Software Center.

     

    Gestion des mises à jour logicielles

    • La catégorie Windows 10, version 1903 and later a été ajouté à Microsoft Update comme produit propre plutôt que de faire partie du produit Windows 10 comme les versions précédentes. Ce changement vous a obligé à effectuer un certain nombre d'étapes manuelles pour vous assurer que vos clients voient ces mises à jour. Microsoft a réduit le nombre d'étapes manuelles que vous devez suivre pour le nouveau produit. Lorsque vous mettez à jour vers la Technical Preview 1906 et que le produit Windows 10 est sélectionné pour la synchronisation, les actions suivantes se produisent automatiquement :
      • Le produit Windows 10, version 1903 and later est ajouté pour la synchronisation.
      • Les règles de déploiement automatique contenant le produit Windows 10 sont mises à jour pour inclure Windows 10, version 1903 and later.
      • Les plans de maintenance sont mis à jour pour inclure le produit Windows 10, version 1903 and later.
    • Vous disposez maintenant d'options de configuration supplémentaires pour la synchronisation des catalogues de mise à jour tiers dans Configuration Manager. Vous pouvez sélectionner les catégories que vous souhaitez synchroniser et la façon dont vous souhaitez télécharger les mises à jour.

     

    Déploiement de système d’exploitation

    • L'étape Install Application, vous pouvez maintenant supprimer le contenu de l'application du cache client après l'exécution de l'étape. Ce comportement est intéressant sur les périphériques avec de petits disques durs ou lors de l'installation successive d'un grand nombre d'applications de grande taille.

    • Basé sur les retours UserVoice, il est maintenant plus facile d'éditer des variables lorsque vous exécutez une séquence de tâches. Après avoir sélectionné une séquence de tâches dans la fenêtre Task Sequence Wizard, la page d'édition des variables de séquence de tâches comprend un bouton Edit. 
    • Basé sur les retours UserVoice, la séquence de tâches définit une nouvelle variable en lecture seule _SMSTSLastContentDownloadLocation. Cette variable contient le dernier emplacement où la séquence de tâches a téléchargé ou tenté de télécharger du contenu. Elle est utilisée comme dépannage pour éviter de consulter les journaux du client.
    • Cette version reprend l'amélioration de l'étape Disable et résout le problème connu avec la fonctionnalité côté client et ajoute une nouvelle variable, OSDBitLockerRebootCountOverride. Cette valeur permet de remplacer le compte à rebours spécifié OSDBitlockerRebootCount. Elle permet de spécifier une valeur 0 ; ce qui n’est pas possible pour l’autre variable.

     

    Plus d’informations sur : https://docs.microsoft.com/en-us/sccm/core/get-started/2019/technical-preview-1906  

    • 17/6/2019

    [Azure AD] Limiter l’accès au portail Azure AD à vos utilisateurs standards

    De la même manière que sur Active Directory, l’annuaire Azure Active Directory de votre entreprise est disponible en lecture à l’ensemble des utilisateurs authentifiés. Cela signifie qu’un utilisateur avertit, peut ouvrir le portail Azure et naviguez dans Azure Active Directory puis lister tous les utilisateurs. Bien entendu l’utilisateur ne pourra pas effectuer d’action de modifications mais il peut très bien accéder à des informations relatives à un utilisateur :

     

    Il est tout de même possible de limiter cette capacité. Ouvrez le portail Azure avec un compte disposant des autorisations Global Admin. Naviguez ensuite dans Azure Active Directory – Users puis choisissez User Settings.
    Passez l’option Restrict access to Azure AD administration portal à Yes :

     

    Les utilisateurs standards ne peuvent maintenant plus accéder à ces informations :

    Note : Ceci a un impact si vous attribuez uniquement des droits RBAC à vos administrateurs Intune. Plus d’informations.

    • 17/6/2019

    [MDOP] La mise à jour de révision de mai 2019 pour MDOP (MBAM 2.5) est disponible

    Microsoft vient de publier la mise à jour de révision de Mai 2019 pour sa suite Microsoft Desktop Optimization Pack (MDOP). Pour rappel, Microsoft a annoncé que les produits de la suite MDOP n’était plus en développement. Ces derniers restent supportés par Microsoft mais chacun dispose d’un futur différent. MBAM va être intégré directement à System Center Configuration Manager & Microsoft Intune. App-V est remplacé par le format MSIX et MSIX AppAttach.

    Cette mise à jour de révision apporte le support de Windows 10 1903 par MBAM 2.5 Service Pack 1 (SP1).


    Pour obtenir plus d’informations et le correctif, rendez-vous sur la KB4505175 May 2019 servicing release for Microsoft Desktop Optimization Pack.

    Télécharger Microsoft Desktop Optimization Pack May 2019 Servicing Release

    • 16/6/2019

    [Azure AD/Intune] Changement affectant l’accès conditionnel pour des authentifications héritées

    Microsoft va effectuer un changement dans la manière dont l’accès conditionnel (Conditional Access) est évalué lors de l’utilisation des protocoles d’authentification hérités (Legacy Auth). Auparavant, un client qui migrait depuis un outil de MDM vers Microsoft Intune, s’il avait attribué des stratégies d’accès conditionnel spécifiques à une plateforme utilisant l’authentification héritée, l’accès conditionnel n’était alors pas appliqué au périphérique puisque la détection du périphérique échouait.

    Ce comportement n’était pas celui attendu. Microsoft s’apprête à corriger le problème dans les prochaines semaines. De ce faire, des utilisateurs qui pouvaient avois accès aux ressources d’entreprises, vont peut-être se voir bloquer l’accès quand elles utilisent une authentification héritée.

    Ceci n’impacte pas le cas des stratégies d’accès conditionnel qui s’appliquent à l’ensemble des plateformes mais uniquement à celles-ci ciblées à des plateformes spécifiques.

    Aucune action n’est à prévoir ; excepté de notifier les acteurs Help Desk pour aider les utilisateurs dans cette situation.

    • 16/6/2019

    Le Correctif cumulatif 22 pour Exchange Server 2013 est disponible

    L’équipe Exchange vient de publier le 22ème Cumulative Update (CU22) (15.00.1473.005) pour Exchange Server 2013. Ce Cumulative Update ne comprend pas de corrections de bugs puisqu’Exchange Server 2013 est entré en support étendu en avril 2018. Les clients doivent l’installer pour continuer de recevoir les mises à jour de sécurité future.

    Notez que l’installation des prérequis suivants sont nécessaires pour l’implémentation de ce Cumulative Update :

    Il permet de résoudre la vulnérabilité révélée suivante :

    Télécharger Cumulative Update 22 for Exchange Server 2013 (KB4503028)

    • 15/6/2019

    [Intune] Correction d’un problème sur le déploiement des profils Emails sur Windows 10

    Microsoft vient de communiquer à propos de la correction d’un bug sur le déploiement de profils email Windows 10 via Microsoft Intune. Cette correction a eu lieu dans la version 1904 (Avril) de Microsoft Intune. Ce changement vous concerne si vous utilisez les profils de messagerie Windows 10 avec

    • Le client de messagerie natif sur les postes de travail Windows 10 OU
    • Le client de messagerie Outlook sous Windows 10 Mobile

    Ceci a un impact à la fois sur les Intune en mode autonome et hybrides avec Configuration Manager.

     Maintenant que cette modification a été effectuée, vous devrez recréer ces profils dans la console Intune (dans la console d'administration Configuration Manager si vous utilisez MDM hybride).

     Si vous ne le faites pas, voici ce que vous verrez pour les profils créés avant 1904 :

    • Les profils de messagerie existants apparaîtront en état d'erreur dans la console Intune ou dans la console d'administration ConfigMgr, mais les utilisateurs finaux auront toujours accès à la messagerie. Cependant, après une mise à jour ultérieure de Windows, ces profils ne fonctionneront plus. Les utilisateurs finaux des périphériques ciblés par ces profils perdront l'accès à leurs courriels.
    • Les modifications apportées à ces profils après 1904 ne seront pas prises en compte sur les périphériques ciblés.
    • L’effacement sélectif ne fonctionnera pas pour supprimer ces profils.

     

    Si vous prenez des mesures et recréez des profils de messagerie, les utilisateurs finaux devront suivre des étapes similaires à celles du déploiement d'un profil de messagerie pour la première fois. Les emails seront bloqués jusqu'à ce qu'ils acceptent la mise à jour qui applique le nouveau profil.

     Vous devez donc :

    1. Capturez les paramètres des profil email Win 10 existants.
    2. Retirer l’attribution et/ou supprimer des profils existants.
    3. Créez de nouveaux profils à l'aide des paramètres capturés et affectez les nouveaux profils aux mêmes groupes.

     

    Plus d’informations sur : https://aka.ms/Win10EmailProfiles

    • 15/6/2019

    Rollup 27 disponible pour Exchange Server 2010 SP3

    L’équipe Exchange vient de publier le 27ème Rollup (KB4503028) pour Exchange Server 2010 SP3 (version 14.03.0461.001).

    Il corrige la vulnérabilité suivante : ADV190018 | Microsoft Exchange Server Defense in Depth Update

    Télécharger Update Rollup 27 For Exchange 2010 SP3 (KB4503028)

    • 14/6/2019

    [Intune/Autopilot] Configurer le connecteur Intune pour Active Directory dans un environnement avec Proxy

    Si vous souhaitez mettre en place Windows Autopilot dans un scénario de jointure hybride à Azure Active Directory (Hybrid Azure AD Join), vous devez installer le connecteur Intune pour Active Directory (Intune Connector for Active Directory).

    De nombreuses entreprises utilisent des proxys pour contrôler l’accès à Internet. Dans ce cas de figure, il vous faudra configurer le connecteur Intune de la façon suivante :

    1. Commencez par installer Intune Connector for Active Directory
    2. Naviguez ensuite dans le répertoire d’installation (ex : :\Program Files\Microsoft Intune\ODJConnector\ODJConnectorUI\).
    3. Ouvrez le dossier ODJConnectorUI et éditez le fichier ODJConnectorUI.exe.config. Je vous recommande faire une sauvegarde du fichier avant toute modification. Ajoutez la section suivante au fichier de configuration en remplacant les informations concernant votre proxy :

    <?xml version="1.0" encoding="utf-8" ?>

    <configuration>

        <system.net> 

            <defaultProxy>  

                <proxy proxyaddress="<ADRESSE DU PROXY>:<PORT>" bypassonlocal="True" usesystemdefault="True"/>  

            </defaultProxy> 

        </system.net>

        <runtime>

            <assemblyBinding xmlns="urn:schemas-microsoft-com:asm.v1">

                <dependentAssembly>

                    <assemblyIdentity name="mscorlib" publicKeyToken="b77a5c561934e089" culture="neutral"/>

                    <bindingRedirect oldVersion="0.0.0.0-2.0.0.0" newVersion="4.6.0.0" />

                </dependentAssembly>

            </assemblyBinding>

        </runtime>

        <startup>

            <supportedRuntime version="v4.0" sku=".NETFramework,Version=v4.6" />

        </startup>

        <appSettings>

            <add key="SignInURL" value="https://portal.manage.microsoft.com/Home/ClientLogon"/>

            <add key="LocationServiceEndpoint" value="RestUserAuthLocationService/RestUserAuthLocationService/ServiceAddresses"/>

        </appSettings>

    </configuration>

     

    1. Dans le répertoire d’installation, ouvrez le dossier ODJConnectorSvc et éditez le fichier ODJConnectorSvc.exe.config. Je vous recommande faire une sauvegarde du fichier avant toute modification. Ajoutez la section suivante au fichier de configuration en remplacant les informations concernant votre proxy :

    <?xml version="1.0" encoding="utf-8" ?>

    <configuration>

        <system.net> 

            <defaultProxy>  

                <proxy proxyaddress="< ADRESSE DU PROXY>:<PORT>" bypassonlocal="True" usesystemdefault="True"/>  

            </defaultProxy> 

        </system.net>

        <startup>

            <supportedRuntime version="v4.0" sku=".NETFramework,Version=v4.6" />

        </startup>

        <appSettings>

            <add key="BaseServiceAddress" value="https://manage.microsoft.com/" />

        </appSettings>

    </configuration>

    1. Redémarrez ensuite le service Intune ODJConnector Service via la console services.msc.

     

    Source : https://docs.microsoft.com/en-us/intune/autopilot-hybrid-connector-proxy   

    • 14/6/2019

    [Intune] Mise à jour du kit d’adoption pour Microsoft Intune

    Microsoft a mis à jour son kit d’adoption pour Microsoft Intune. Ce kit d’adoption comprend des liens afin de répondre à toutes les phases :

    1. Informations basiques de connaissances à propos du produit, service ou des fonctionnalités
    2. Des informations de planification pour guider les grandes entreprises et les assister
    3. Des modèles et des informations à communiquer aux utilisateurs finaux (vidéos)
      1. Enregistrer vos périphériques Android en mode Android Enterprise Fully Managed
      2. Enregistrer vos périphériques Android en mode Android Enterprise Work Profile
      3. Enregistrer vos périphériques iOS
      4. Enregistrer vos périphériques macOS
      5. Enregistrer vos périphériques Windows 10
    4. Des ressources pour aider au déploiement (Email de communication, etc.)

    Télécharger Intune Adoption Pack

    Source : https://techcommunity.microsoft.com/t5/Enterprise-Mobility-Security/Microsoft-Intune-customer-adoption-pack-is-now-available/ba-p/679866

    • 13/6/2019

    [Intune] L’agent PC Intune hérité ne fonctionne pas sur des machines mises à jour vers Windows 10 1903

    Microsoft vient de communiquer via un message (IT181632) ciblé dans le centre de messages Office 365 concernant un problème touchant la gestion des PC héritée de Microsoft Intune. Ceci correspond à l’agent basé sur la console d’administration Silverlight qui ne supporte pas les mises à jour automatiques de fonctionnalités. Néanmoins, l’entreprise peut mettre à jour manuellement les machines vers des versions supérieures de Windows 10. Après la mise à jour des machines vers Windows 10 1903, l’agent PC Intune permet la communication avec les services Microsoft Intune.
    Côté portail, vous voyez que la dernière date de contact est ancienne. Notez que ce problème n’affecte pas les machines Windows 10 gérées de manière moderne avec le MDM Intune.

    Sur l’interface Intune Center, vous voyez l’erreur : 0x8007065b.

    Vous résoudre le problème, vous devez effectuer les actions suivantes sur la machine avec une invite de commande avec des privilèges élevés :

    • Exécuter les commandes suivantes :
      • exe /s "C:\Program Files\Microsoft\OnlineManagement\Client\Svc\OmcSvc.dll"
      • exe /s "C:\Program Files\Microsoft\OnlineManagement\Updates\Bin\omupdsrv.dll"
      • exe /s "C:\Program Files\Microsoft\OnlineManagement\Client\UI\auinstallwiz.dll"
    • Redémarrer l’Intune Center et effectuer une analyse.

    Source : https://techcommunity.microsoft.com/t5/Intune-Customer-Success/Support-Tip-Intune-legacy-PC-agent-stops-working-on-PCs-updated/ba-p/681919

    • 13/6/2019

    [Intune] Nouvelle expérience d’administration en mode écran unique

    Microsoft prépare une nouvelle expérience pour le portail Microsoft Intune à destination des administrateurs permettant la création et l’édition sur un seul et même unique écran. Ceci met fin au concept d’ouverture perpétuel et d’étalement de blade/tuile dans le portail. Les workflows et assistants de création et d’édition vont donc être condensé en un seul et unique écran/tuile. Vous n’aurez donc plus à naviguer en profondeur dans les tuiles.

    L'expérience plein écran sera déployée sur le portail Intune sur portal.azure.com et devicemanagement.microsoft.com au cours des prochains mois. Cette mise à jour de l'interface utilisateur n'aura pas d'impact sur les fonctionnalités des stratégies et profils existants, mais vous verrez une cinématique de création/modification légèrement modifié. Lorsque vous créez de nouvelles stratégies, par exemple, vous pourrez définir certaines affectations au lieu de le faire une fois la stratégie créée.

    Pour les entreprises ayant créé des documentations d’exploitation, vous allez devoir les mettre à jour pour refléter ces changements.

    Plus d’informations et un aperçu des écrans sur : https://aka.ms/intune_fullscreen

    • 12/6/2019

    [M365] L’accès conditionnel fait maintenant partie de Microsoft 365 Business

    C’est un retour qui est fait depuis plusieurs mois à Microsoft. Il faut croire que nous avons été écoutés puisque l’accès conditionnel (Conditional Access) est maintenant disponible pour les clients qui ont acheté Microsoft 365 Business. Les stratégies d’accès conditionnels et de configuration sont les mêmes que celles proposées pour les clients qui ont acheté Azure Active Directory Premium P1.

    Ceci inclut :

    • Le ciblage des utilisateurs en fonction du nom d'utilisateur, du groupe et du rôle
    • Le ciblage par application
    • Par emplacement - n'autorisez l'accès qu'à partir de plages IP fiables ou de pays spécifiques.
    • Par type d'application - navigateur, applications de bureau / mobiles utilisant l'authentification moderne et ancienne.
    • Exiger le MFA
    • Exiger un périphérique conforme ou un périphérique joint à un domaine
    • Exiger des applications utilisant les stratégies de protection d'application d'Intune
    • Des facteurs d'authentification personnalisés (contrôles personnalisés) - MFA avec des fournisseurs de MFA tiers (p. ex. DUO ou RSA)

    Cela ne signifie pas que toutes les autres fonctionnalités Azure AD P1 sont inclus dans Microsoft 365 Business. Ces dernières se limitent à la réinitialisation de mot de passe en libre-service hybride, Azure MFA et l’accès conditionnels.

    Plus d’informations sur l’annonce : Conditional Access is now part of Microsoft 365 Business