Jean-Sébastien DUCHENE Blog's

Actualité, Tips, Articles sur l'ensemble des Technologies Microsoft (SCCM/SMS, EMS, Microsoft Intune, Microsoft Azure, Windows 10, SCOM, MDOP...)
    • 15/8/2018

    [SCCM 2012/CB] Problème de remontée des données d’inventaire et de rapports de conformité

    J’ai rencontré un problème sur une infrastructure System Center Configuration Manager Current Branch où les données d’inventaire et le résultat de l’évaluation des rapports de conformité, n’étaient plus traités par le serveur de site. En outre, les machines ne remontent pas non plus l’état de vérification du client. Vous pouvez constater ces différents éléments via les rapports ou directement dans la console en regardant les dates de dernières remontées.

    Côté client, les fichiers de journalisation ne montrent pas de problème et tout semble fonctionner. Côté serveur, le serveur IIS semble fonctionner si vous accédez à l’adresse http://<Serveur>/sms_mp/.sms_aut?mplist

    Les problèmes se gâtent lorsque vous regardez les fichiers de journalisation IIS du Management Point. Vous pouvez observer les erreurs suivantes : (bits_error :, 501,0x80070005)

    Cela dénote une erreur BITS. Si vous essayez d’ouvrir le gestionnaire IIS et que vous essayez d’accéder au composant BITS sur le site web par défaut, vous obtenez le message d’erreur : BITS server was unable to read from the IIS Meta-base as it is corrupt. The settings for this virtual directory have been reset to the BITS Defaults. Parameter count mismatch :

    En regardant le fichier de journalisation de traitement de l’inventaire (dataldr.log), on observe des dizaines d’erreurs CounterThreadProc : MIFs/Min counter missing qui s’enchainent toutes les secondes.

    Pourtant, l’état du composant SMS_INVENTORY_DATA_LOADER est normal dans la console d’administration.

    Il *semble* que le problème survienne à la suite de la mise à niveau du serveur de site de Windows Server 2012 R2 vers Windows Server 2016.

    Pour résoudre le problème, vous devez :

    1. Désinstaller le rôle Management Point
    2. Valider la désinstallation dans le fichier MPSetup.log
    3. Installer le rôle Management Point à nouveau
    4. Valider la réinstallation dans le fichier MPSetup.log
    5. Exécuter la commande suivante dans le dossier <Répertoire d’installation de ConfigMgr>\bin\i386 : perfsetup /install /siteserver:(SERVEUR) SMS_INVENTORY_DATA_LOADER

    A la suite de ces opérations, vous n’observez plus d’erreur dans les journaux IIS ainsi que des erreurs dans dataldr.log.

    Veuillez noter qu’un backlog important et donc une surcharge du serveur, est à prévoir après ces opérations en fonction du délai entre le début des problèmes et le jour de la correction. En effet, le serveur va devoir traiter les données qui n’ont pas été traitées jusqu’alors.

    • 15/8/2018

    [Windows 10] Publication de la version 1.3.1.0 de SetupDiag pour dépanner les mises à niveau de Windows 10

    Il y a quelques temps, Microsoft mettait à disposition un outil (SetupDiag) permettant d’aider les administrateurs à obtenir du détail lorsqu’une mise à niveau de Windows 10 ne fonctionnait pas. L’outil vérifie les fichiers de journalisation Windows Setup pour trouver les éléments bloquants afin d’identifier la cause principale de l’échec.

    Afin d’exécuter l’outil, vous devez utiliser Windows 10 et avoir le .NET Framework 4.6 installé.

    L’outil en ligne de commande peut être exécuté sur la machine ou de manière hors ligne à partir d’une machine où vous aurez récupéré les journaux d’une autre machine. Après exécution, vous obtenez un fichier SetupDiagResult.log qui vous donne les éléments essentiels trouvés par l’outil.

    Plus d’informations sur l’outil et les paramètres de la ligne de commande 

    Télécharger SetupDiag 1.3.1.0

    • 14/8/2018

    [Intune] Rappel : La gestion des périphériques mobiles (MDM) ne sera plus disponible via Silverlight

    Initialement fixée au 2 avril 2018, la fin de vie de l’ancien portail Silverlight Microsoft Intune pour la gestion des périphériques mobiles (MDM) est maintenant prévue au 31 août 2018. A partir de cette date, il sera nécessaire d’utiliser le portail Intune dans Microsoft Azure.

    Ainsi, seule la gestion classique des PCs avec l’agent Intune restera dans le portail Silverlight.

    Vous devez vérifier que la migration de votre tenant s’est bien passée en validant les stratégies, les messages dans le centre Office Message Center.

    A noter que pour les entreprises qui utilisent Microsoft Intune dans mode hybride couplé à System Center Configuration Manager, la configuration d’Android for Work et des solutions de Mobile Threat Defense se feront toujours depuis le portail Silverlight.

    • 14/8/2018

    Une année avant la fin de support pour SQL Server 2008 et SQL Server 2008 R2

    Le 9 juillet 2019, SQL Server 2008 et SQL Server 2008 R2 arriveront en fin de support. Il y a encore beaucoup de bases de données qui sont hébergées sur ces versions du moteur de SQL Server. Vous devez donc planifier la mise à niveau des bases de données vers SQL Server 2017 ou Azure SQL Database.

    Source : https://cloudblogs.microsoft.com/sqlserver/2018/07/12/sql-server-2008-end-of-support-is-the-first-step-to-tomorrows-database/

    • 13/8/2018

    [Windows 10 1709-1803/SCCM] Bug sur l’interface Windows Defender lorsque la machine est gérée

    Il semble qu’un bug esthétique soit présent dans Windows 10 1709 et 1803 avec l’interface Windows Defender. Lorsque ce dernier est géré par System Center Configuration Manager, vous pouvez appliquer des stratégies qui viennent configurer le client (par exemple activer la protection en temps réel). En regardant le paramétrage dans Windows Defender Security Center, vous observez que ce dernier est grisé mais sur Off contrairement à ce que vous pouvez avoir spécifié. Ceci est valable pour d’autres paramétrages que vous auriez pu configurer.

    Pourtant la protection en temps réel est bien active.

    En réalité, le problème provient du paramétrage dans les stratégies Endpoint Protection : Disable the client Interface. Ce dernier devrait cacher la section Virus & threat protection de Windows Defender Security Center. Au lieu de cela, la section est toujours visible mais tous les paramétrages sont grisés et marqués sur Off malgré l’état réel de chacun d’eux.

    En lieu et place, vous pouvez plutôt utiliser le paramétrage de stratégie de groupe (GPO) : Hide the virus and threat protection area.

    Microsoft planifie la correction du bug pour Windows 10 1809.

    • 13/8/2018

    [Windows 10] Comment (correctement) bloquer l’accès au Microsoft Store ?

    C’est un sujet récurrent ! Au-delà de la stratégie globale de l’entreprise qui vise à autoriser de nouveaux usages, comment bloquer l’accès au Microsoft Store sur Windows 10 ?

    On voit de nombreuses techniques sur Internet :

    • Utiliser les stratégies de groupes (GPO)
    • Utiliser AppLocker
    • Utiliser les Configuration Service Providers (CSP) et un outil de gestion des périphériques mobiles (MDM)
    • Utiliser des méthodes diverses et variées visant à *casser* le Microsoft Store

    Les trois premières solutions requièrent l’édition Enterprise.

    Le dernier point et les méthodes qui sont associés, visent toutes à contourner la limitation sur des éditions Pro mais ne prennent pas en compte les dangers de celles-ci.

    Pourquoi est-il important de bloquer le Microsoft Store avec les méthodes officielles via l’édition Enterprise ?

    Les méthodes que vous pourrez trouver sur Internet, empêchent véritablement tout fonctionnement du Microsoft Store. Or le Microsoft Store est utilisé pour mettre à jour les applications universelles (Calculatrice, Paint 3D, etc.) présentes par défaut lors de l’installation du système. L’utilisation de ces méthodes impliquent donc que les applications universelles par défaut ne seront plus par défaut. Les éventuels bugs ou corrections de failles de sécurité ne seront donc pas réalisées.

    Outre cet aspect, les changements que vous apportez, sont généralement effacés/réinitialisés à la mise à niveau vers la version suivante de Windows 10. Il se peut aussi que les changements soient irréversibles et aillent au-delà de ce que vous pouvez attendre.

    Quelle est la bonne méthode pour bloquer le Microsoft Store ?

    Le plus étonnant est bien que vous utilisiez une des trois premières méthodes pour bloquer le Microsoft Store, il y a de bonnes et mauvaises façons de les configurer.

    En effet, l’application des stratégies (GPOs) ou CSPs sur la machine, bloque entièrement le Microsoft Store et empêche donc la mise à jour des applications.

    Pour contourner ce problème, vous devez donc appliquer ces éléments à l’utilisateur et non à la machine. Pour les GPOs, vous devez donc utiliser le paramétrage Turn off the Store application présent dans User Configuration\Administrative Templates\Windows Components

     

    Ceci permettra de bloquer l’accès à l’interface utilisateur tout en laissant les mises à jour se faire naturellement.

    • 12/8/2018

    [SCCM] Mise à jour de la baseline permettant de vérifier les failles Spectre et Meltdown

    Microsoft a mis à jour la baseline permettant de vérifier l’état de conformité des machines vis-à-vis des vulnérabilités Spectre et Meltdown (Speculation Execution Side-Channel) avec System Center Cofniguration Manager.

    La baseline vérifie si la protection est activée pour les trois vulnérabilités suivantes :

    La baseline requiert PowerShell 3.0 pour fonctionner.

    Télécharger Speculation Execution Side-Channel Vulnerabilities Configuration Baseline

    Source : https://blogs.technet.microsoft.com/configurationmgr/2018/08/02/updated-speculation-execution-side-channel-vulnerabilities-configuration-baseline/

    • 12/8/2018

    [Intune] L’installation du client SCCM via Microsoft Intune et la Cloud Management Gateway renvoie une erreur de token AAD

    Vous pouvez peut-être rencontrez ce problème si vous décidez d’installer le client System Center Configuration Manager via Microsoft Intune en utilisant la Cloud Management Gateway (CMG). Vous observez les messages suivants dans les fichiers de journalisations :

    Fail to get AADToken with system account, enumerate all logged users
    Impersonating to user 'S-1-12-1-4252556605-1289310833-1819726501-980362358' for getting AAD token...
    Getting AAD (user) token with: ClientId = c0063a1e-0982-4909-9129-081363b86584, ResourceUrl = http://sccmwebapp.domaineonmicrosoft.com, AccountId = 5D2A840C-77A2-4C6F-B15E-7766D5974C50
    Retrieved AAD token for AAD user 'fd78dd3d-5271-4cd9-a5d2-766c76246f3a'
    Getting CCM Token from https:// DOMAINE.CLOUDAPP.NET/CCM_Proxy_ServerAuth/72759400537927937/CCM_STS
    Getting AAD (device) token with: ClientId = c0063a1e-0982-4909-9129-081363b86584, ResourceUrl = http://sccmwebapp.domaineonmicrosoft.com, AccountId = 5D2A840C-77A2-4C6F-B15E-7766D5974C50
    WAM token request failed. Status 5, Details 'AAD WAM extension error'
    Failed to get AAD token.. No more connections can be made to this remote computer at this time because there are already as many connections as the computer can accept. (Error: 80070047; Source: Windows)
    Fail to get AADToken with system account, enumerate all logged users
    Impersonating to user 'S-1-12-1-4252556605-1289310833-1819726501-980362358' for getting AAD token...
    Getting AAD (user) token with: ClientId = c0063a1e-0982-4909-9129-081363b86584, ResourceUrl = http://sccmwebapp.Customerdomainonmicrosoft.com, AccountId = 5D2A840C-77A2-4C6F-B15E-7766D5974C50
    Retrieved AAD token for AAD user 'fd78dd3d-5271-4cd9-a5d2-766c76246f3a'
    Getting CCM Token from https:// DOMAINE.CLOUDAPP.NET/CCM_Proxy_ServerAuth/72759400537927937/CCM_STS
    MapNLMCostDataToCCMCost() returning Cost 0x1
    GET 'https://DOMAINE.CLOUDAPP.NET/CCM_Proxy_ServerAuth/72759400537927937/CCM_STS'
    GetSSLCertificateContext failed with error 0x87d00281
    client certificate is not provided.
    Failed to successfully complete WinHttp request. (StatusCode at WinHttpQueryHeaders: 500), StatusText: 'CMGConnector_InternalServerError'RetrieveTokenFromStsServer failed with error 0x87d00215 MapNLMCostDataToCCMCost() returning Cost 0x1
    Client is not allowed to use PKI issued certificate or AAD token thus it can not talk to HTTPS server.
    GetHttpRequestObjects failed for verb: 'CCM_POST', url: 'https://DOMAINE.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72759400537927937/ccm_system/request'
    GetDPLocations failed with error 0x80004005
    Failed to get DP locations as the expected version from MP 'https://DOMAINE.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72759400537927937. Error 0x80004005
    Failed to get client version for sending state messages. Error 0x8004100e
    Params to send '5.0.8634.1813 Deployment Error: 0x0, Client is not allowed to use PKI issued certificate or AAD token thus it can not talk to HTTPS server.

    Ce problème survient avec System Center Configuration Manager 1802 ou plus. A partir de cette version, Microsoft requiert un Management Point configuré pour fonctionner avec du HTTPS afin de sécuriser la communication du token AAD. Vous devez donc ajouter un Management Point HTTPS dans votre environnement.

    • 11/8/2018

    [SCOM] Community Technical Preview (7.0.8.0) des Management Packs SQL Server 2017+ Reporting Services et Analysis Services

    Microsoft vient de proposer une nouvelle CTP pour le pack d’administration ou Management Pack (MP) SCOM pour superviser les composants pour SQL Server 2017 en version 7.0.8.0. Les Management Packs proposés supportent les fonctionnalités suivantes :

    • Microsoft SQL Server 2017 Reporting Services
    • Microsoft SQL Server 2017 Analysis Services

     

    Télécharger Microsoft System Center Management Packs (Community Technology Preview) for SQL Server 2017+ Reporting Services and Analysis Services

    • 11/8/2018

    [SCOM] Mise à jour (7.0.7.0) du Management Pack pour superviser SQL Server 2008/2008 R2/2012

    Microsoft vient de mettre à jour (7.0.7.0) le pack d’administration ou Management Pack (MP) SCOM pour superviser SQL Server 2008, 2008 R2 et 2012. Il fonctionne avec SCOM 2012 SP1 ou plus. Cette nouvelle version apporte les éléments suivants :

    • Correction : Dans certains environnements, les workflows d’espace de base de données échouent quand une seconde base de données n’est pas lisible.
    • Correction : La règle d’alerte « The agent is suspect. No response within last minutes” ne permet pas d’attraper les événéments appropriés dû à la mauvaise source.
    • Correction : Le moniteur « DB File Space » du Management Pack SQL Server 2008 lève des événements en erreur due à un caractère $ non nécessaire dans la configuration de l’alerte

     

    Télécharger

    • 10/8/2018

    Nouvelle Preview (1.34.6.0) du client Azure Information Protection

    Microsoft vient de publier une nouvelle Preview (1.34.6.0) du client pour son service Microsoft Azure Information Protection. Parmi les changements sur le client, on retrouve :

    • Prise en charge de nouveaux types d'informations sensibles pour vous aider à classer les documents contenant des informations personnelles.
    • Prise en charge de la labelisation pour le format Strict Open XML Document dans les fichiers Word, Excel et PowerPoint.
    • Prise en charge de la norme ISO pour le chiffrement des PDF, en configurant une nouvelle option avancée du client. Lorsque cette option est configurée, les documents PDF que vous protégez conservent leur extension de nom de fichier.pdf (plutôt que de passer à.ppdf) et peuvent être ouverts par des lecteurs PDF qui prennent en charge cette norme ISO.
    • Prise en charge des fichiers qui ont été protégés par Secure Islands lorsque ces fichiers ne sont pas des documents PDF et Office. Par exemple, des fichiers texte et images protégés. Ou, les fichiers qui ont une extension de nom de fichier.pfile. Ce support permet de nouveaux scénarios, tels que le scanneur Azure Information Protection qui permet d'inspecter ces fichiers à la recherche d'informations sensibles et de les ré-étiqueter automatiquement pour Azure Information Protection.
    • Lorsque vous classifiez et protégez en utilisant PowerShell ou le scanneur, les métadonnées des documents Office ne sont pas supprimées ou chiffrées.
    • L'affichage des e-mails à l'aide des icônes de flèche Élément suivant et Élément précédent sur la barre d'outils Accès rapide affiche l'étiquette correcte pour chaque e-mail.
    • Les permissions personnalisées prennent en charge les adresses électroniques des destinataires qui contiennent une apostrophe.
    • L'environnement informatique s'initialisera avec succès (bootstrap) lorsque cette action est lancée en ouvrant un document protégé stocké dans SharePoint Online.
    • Plusieurs correctifs importants.

    Parmi les changements sur le scanneur, on retrouve 

    • Nouvelle cmdlet, Update-AIPScanner : Requis pour fonctionner une fois après la mise à niveau de la version 1.26.6.0 ou antérieure.
    • Nouvelle cmdlet, Get-AIPScannerStatus : Obtient l'état actuel du service pour le scanner.
    • Nouvelle cmdlet, Start-AIPScan : Demande au scanneur de démarrer un cycle d’analyse ponctuel lorsque l'horaire est réglé sur manuel.
    • SharePoint Server 2010 est pris en charge pour les clients qui ont étendu le support de cette version de SharePoint.
    • Pour les documents protégés dans les bibliothèques SharePoint, si le paramètre DefaultOwnerparameter n'est pas utilisé pour le référentiel de données, la valeur SharePoint Editor est maintenant utilisée comme valeur par défaut au lieu de la valeur Author.
    • Les rapports du scanneur incluent "Dernière modification par" pour les documents Office.
    • Pour le scanneur, la liste d'exclusion par défaut inclut maintenant les fichiers.rtf


    Télécharger Azure Information Protection Client Preview

    • 10/8/2018

    [Intune] CHANGEMENT sur le fonctionnement du paramètre permettant de forcer le changement de mot de passe sur macOS 10.13 ou plus

    Microsoft a publié un changement (MC145129) sur la gestion des périphériques mobiles (MDM) avec Microsoft Intune en mode autonome ou hybride (avec SCCM) dans le Message Center du portail Office 365.

    Dans la version de septembre, Microsoft Intune intégrera le nouveau paramètre Change password at next auth pour les périphériques exécutant macOS 10.13 ou plus.

    Avant l'introduction de ce paramètre, les fournisseurs de MDM n'avaient aucun moyen de vérifier que le code d'accès d'un appareil avait été modifié pour assurer la conformité. Les stratégies de configuration et de conformité d'Intune validaient uniquement au prochain changement de mot de passe sur l'appareil, afin d’être marqué comme conforme. Les utilisateurs macOS recevront une demande de mise à jour de leur mot de passe lors de l'intégration de cette nouvelle fonctionnalité Apple, même si leur mot de passe est déjà conforme.

    Maintenant que l'Apple a introduit ce paramétrage, Intune peut forcer les utilisateurs à mettre à jour leur mot de passe à un mot de passe conforme lorsqu'une stratégie de mot de passe est poussée. Si vous bloquez les ressources de l'entreprise jusqu'à ce que l'appareil soit conforme, sachez que vos utilisateurs finaux peuvent être empêchés d'accéder aux ressources de l'entreprise jusqu'à ce qu'ils réinitialisent leur mot de passe. À l'avenir, toutes les mises à jour des stratégies de configuration et de conformité des mots de passe obligeront les utilisateurs ciblés à mettre à jour leurs mots de passe.

    • 9/8/2018

    [SQL] Nouvelle version (Juillet 2018) de SQL Operations Studio

    Microsoft a publié une nouvelle version (Juillet 2018) de SQL Operations Studio. Pour rappel ces outils sont disponibles depuis Windows, macOS, et Linux pour permettre de gérer SQL Server, Azure SQL DB, et Azure SQL Data Warehouse.

    Cette version inclut les éléments suivants :

    • Configuration de l’agent SQL Server :
      • Ajout de vue pour les alertes, les opérateurs, et proxies
      • Ajout de boite de dialogue pour de nouveaux jobs, de nouvelles étapes de job, de nouvelles alertes, et de nouveaux opérateurs.
      • Ajout d’options sur le clic droit pour supprimer un job, supprimer une alerte et supprimer un opérateur
      • Ajout de visualisation Previous Runs.
      • Ajout de filtres pour chaque nom de colonne.
    • Améliorations de SQL Server Profiler.
      • Ajout de raccourcis clavier pour lancer et démarrer/arrêter rapidement Profiler.
      • Ajout de 5 modèles par défaut pour visualiser les événements étendus.
      • Ajout du nom de connexion Serveur/Base de données
      • Ajout de la prise en charge des instances d’Azure SQL Database
      • Ajout d'une suggestion pour quitter Profiler lorsque l'onglet est fermé et que Profiler est toujours en cours d'exécution.
    • Publication de l’extension communautaire Combine Scripts dans l’Extensions Manager.
    • Extensibilité des boites de dialogue et des assistants
    • Continuer à corriger les problèmes remontés via GitHub.

    Plus d’informations : https://cloudblogs.microsoft.com/sqlserver/2018/07/19/the-july-release-of-sql-operations-studio-is-now-available/

     

    Télécharger SQL Operations Studio

    • 9/8/2018

    [Intune] Support d’Android 9 (Pie)

    Microsoft vient d’annoncer le support d’Android 9 ou Pie par Microsoft Intune. Cette version d’Android a été par Microsoft à chaque Preview et est totalement supporté par les stratégies de protection des applications (MAM) ainsi que la gestion des périphériques mobiles (MDM).

    Microsoft rappelle quelques éléments :

    • Si vous êtes un développeur, vous devez utiliser la dernière version du SDK Intune.
    • Si vous êtes un administrateur ou un développeur qui a utilisé une version antérieure de l’outil d’encapsulation d’application Intune (Intune App Wrapping Tool), l’équipe Intune va publier une nouvelle mise à jour d’ici quelques semaines afin de faire fonctionner vos applications métiers avec Android P.
    • Microsoft rappelle qu’il faut encourager vos utilisateurs à mettre à jour le portail d’entreprise, le navigateur géré (Managed Browser) et toutes les applications MAM compatibles. Les dernières versions sont nécessaires pour le fonctionnement avec Android P.

    Pour les entreprises qui utilisent le MDM de Microsoft Intune :

    • L’assistant Company Access Setup peut ne pas fonctionner correctement sur un périphérique qui exécute une version préliminaire d’Android P. Microsoft va corriger le problème en août sur le portail Intune.
    • Il y a un changement d’icône au niveau des profils de travail (Work Profiles) dans Android P pour Android Enterprise.

    Source : https://blogs.technet.microsoft.com/intunesupport/2018/08/07/support-tip-intune-support-for-android-p/

    • 8/8/2018

    [SCOM 2012 R2/2016/1801] Un Management Pack pour (re)configurer de nouvelles connexions vers l’Operations Management Suite (OMS)

    Microsoft vient de publier un Management Pack pour permettre la configuration ou la reconfiguration de la connexion entre System Center Operations Manager (2012 R2/2016/1801) et Operations Management Suite (OMS). Microsoft a en effet intégré de nouvelles APIs dans OMS et ce Management Pack permet leur utilisation pour créer la connexion.

    Pour rappel, System Center Operations Manager (SCOM) fait partie de la gamme System Center, il propose une supervision souple et évolutive de l’exploitation au niveau de toute l’entreprise, réduisant la complexité liée à l’administration d’un environnement informatique, et diminuant ainsi le coût d’exploitation. Ce logiciel permet une gestion complète des événements, des contrôles proactifs et des alertes, et assure une gestion des services de bout en bout. Il établit des analyses de tendance et des rapports, et contient une base de connaissances sur les applications et le système.

    Télécharger :

    • 8/8/2018

    [SCCM CB] Le téléchargement de la mise à jour du client Office 365 ProPlus reste bloquée à 50%

    Un problème semble toucher de plus en plus d’entreprises qui utilisent System Center Configuration Manager Current Branch pour mettre à jour le client Office 365 ProPlus. Dans ce cas de figure, vous pouvez voir le téléchargement de la mise à jour bloquée à 50% de téléchargement. La mise à jour finit ensuite par échouer.

    Le problème est connu de Microsoft et concerne principalement Office lui-même. Le correctif est planifié pour Août 2018.

    En attendant une des solutions de contournement qui peut permettre de débloquer la situation revient à renommer ou supprimer le cache de téléchargement dans C:\Program Files (x86)\Microsoft Office\Updates\Download.

    • 7/8/2018

    [Intune] Les nouveautés du mois de la seconde quinzaine de Juillet 2018

    Microsoft vient d’annoncer la mise à disposition d’un nouvel ensemble de fonctionnalités pour Microsoft Intune.

    Les fonctionnalités suivantes sont ajoutées :

    Enregistrement des périphériques

    • [Windows 10] Le portail d’entreprise permet d’initier des synchronisations directement depuis la barre de tâches ou le menu démarrer via une action de clic droit et les jump lists. On retrouve une option Sync this device qui ouvre la page settings de Windows et initie une synchronisation.
    • [Windows 10] Nouvelles expériences de navigation sur le portail d’entreprise de Windows permettant de changer de la vue par Tuiles à la vue Détails. La nouvelle vue liste des détails sur les applications comme le nom, l’éditeur, la date de publication et l’état d’installation. Plus d’informations sur : What's new in the UI.
    • [Windows 10] Amélioration de l’expérience quand un gestionnaire d’enregistrement de périphérique (DEM) se connecte au portail d’entreprise. L’application liste maintenant uniquement les périphériques en cours d’exécution du DEM. Ceci réduit les timeouts précédents.
    • [Android] Par défaut, les périphériques Android enregistrés à l'aide de Samsung Knox Mobile Enrollment sont maintenant marqués comme d’entreprise (Corporate). Vous n'avez pas besoin d'identifier manuellement les appareils de l'entreprise en utilisant IMEI ou les numéros de série avant de les inscrire en utilisant Knox Mobile Enrollment.

    Gestion du périphérique

    • [Général] Vous pouvez maintenant supprimer plusieurs périphériques à la fois sur la tuile des périphériques. Choisissez Devices > All devices > sélectionnez les périphériques à supprimer puis Delete. Pour les périphériques qui ne peuvent pas être supprimés, une alerte s'affiche.

    Configuration du périphérique

    • [Général] Microsoft a intégré une API Java qui permet aux autorités de certification tierces d'intégrer Intune et SCEP. Ensuite, les utilisateurs peuvent ajouter le certificat SCEP à un profil et l'appliquer aux périphériques.
    • [Général] Support de S/MIME pour le chiffrement et la connexion d’utilisateurs sur plusieurs périphériques. Vous pouvez utiliser un nouveau profile de certificats : Device configuration > Profiles > Create profile > plateforme > PKCS imported certificate. Le certificat est ensuite déployé à plusieurs périphériques pour un même utilisateur. Ceci est supporté sur Windows 10, Windows 10 Mobile, macOS, iOS et Android :
      • Le profil email iOS natif prend en charge l'activation du chiffrement S/MIME à l'aide de certificats importés au format PFX.
      • L'application email native sur les périphérique Windows 10 Mobile utilise automatiquement le certificat S/MIME.
      • Les certificats privés peuvent être délivrés sur plusieurs plates-formes. Mais toutes les applications de messagerie ne prennent pas en charge S/MIME.
      • Sur d'autres plates-formes, vous devrez peut-être configurer manuellement l'application de messagerie pour activer S/MIME.
      • Les applications de messagerie qui prennent en charge le chiffrement S/MIME peuvent gérer la récupération des certificats pour le chiffrement de messagerie S/MIME d'une manière qu'un MDM ne peut pas prendre en charge, comme la lecture à partir de la liste de certificats de leur éditeur.
    • [Général] Vous pouvez maintenant configurer si les navigateurs de Kiosk affichent ou non le bouton End Session. Si le paramètre est activé, lorsqu'un utilisateur clique sur le bouton, l'application demande une confirmation pour mettre fin à la session. Une fois confirmé, le navigateur efface toutes les données de navigation et revient à l'URL par défaut.
    • [macOS] Vous pouvez créer une stratégie de conformité pour vérifier l’état du pare-feu sur macOS 10.12 ou plus via Device compliance > Policies > Create policy > Platform: macOS > System security. On retrouve les modes :
      • Firewall : Configure la façon dont les connexions entrantes sont gérées dans votre environnement.
      • Incoming connections: Bloquz toutes les connexions entrantes sauf celles requises pour les services Internet de base, tels que DHCP, Bonjour et IPSec. Ce paramètre bloque également tous les services de partage.
      • Stealth mode : Active le mode furtif pour empêcher l'appareil de répondre aux demandes de palpage. L'appareil continue de répondre aux demandes entrantes d'applications autorisées.
    • [Windows 10] Vous pouvez maintenant créer des profils de configuration WifI directement dans Intune sans avoir à utiliser un fichier XML.
    • [Windows 10] Les anciens profils Kiosk – Obsolete sont grisés et ne peuvent pas être changés.
    • [Windows 10] Il devient possible de créer un profil de configuration eSIM cellular. Vous pouvez importer un fichier contenant les codes d'activation cellulaire fournis par votre opérateur mobile. Vous pouvez ensuite déployer ces profils sur vos périphériques Windows 10 compatibles eSIM LTE, tels que le Surface Pro LTE et d'autres périphériques compatibles eSIM.

    Gestion des applications

    • [Windows 10] Il devient plus facile d’éditer les déploiements d’application Office 365 Pro Plus. Il n’est donc plus nécessaire de supprimer le déploiement pour changer des propriétés.
    • [Windows 10] Les extensions de fichiers pour les applications Windows permettent maintenant de déployer des .msix et .msixbundle en plus des .msi, .appx, et .appxbundle. Vous pouvez les ajouter en naviguant dans Mobile apps > Apps > Add. Vous sélectionenz le type d’application et vous pouvez ensuite uploader le fichier.
    • [macOS] Support du déploiement d’applications métiers pour macOS comme requis ou disponible avec enregistrement. Les utilisateurs peuvent voir les applications disponibles via le portail d’entreprise pour macOS ou via le site web du portail d’entreprise.
    • [iOS] Support des applications intégrées (par exemple Safari) pour le mode Kiosk.

    Plus d’informations sur : https://docs.microsoft.com/en-us/intune/whats-new

    • 7/8/2018

    [Office 365] Microsoft répond à vos questions sur Microsoft Teams

    Microsoft va proposer un événement de questions/réponses sur Microsoft Teams. Cet évènement aura lieu le jeudi 9 août de 18h à 19h (heure française). Ask Microsoft Anything est une belle opportunité pour poser des questions sur Microsoft Planner avec une réponse directe.

    Vous devez être membre de Tech Community pour poster vos questions via l’adresse : https://aka.ms/teamsama

    Source : https://techcommunity.microsoft.com/t5/Microsoft-Teams-AMA/Announcing-a-Microsoft-Teams-AMA/m-p/

    • 6/8/2018

    [Intune] Obtenir les versions préliminaires du portail d’entreprise sur macOS

    L’équipe du support Microsoft Intune a fournit la procédure permettant de s’inscrire au programme Insider permettant d’obtenir l’accès aux versions préliminaires du portail d’entreprise de Microsoft Intune pour macOS. Ceci peut être particulièrement intéressant pour les entreprises qui souhaitent tester les changements ou voir les adaptations d’interface afin d’informer les utilisateurs.

    Pour ce faire, vous devez :

    • Installer le portail d’entreprise depuis le site web suivant ou depuis https://macadmins.software/
    • Microsoft AutoUpdate doit automatiquement se lancer après l’installation. Vous pouvez aussi le lancer depuis le portail d’entreprise via le menu Help – Check for Updates.
    • Lorsque Microsoft AutoUpdate se lance, vous pouvez cocher la case Join the Office Insider program.
    • Sélectionnez le cercle de distribution Office Insider Slow et cliquez sur Check for updates.

    Notez que cette configuration s’applique aussi à Office for Mac.

    Source : https://blogs.technet.microsoft.com/intunesupport/2018/07/13/use-microsoft-autoupdate-for-early-access-to-the-macos-company-portal-app/

    • 6/8/2018

    [Remote Desktop] Dépréciation du client Remote Desktop 8.0 pour macOS

    Microsoft a annoncé la dépréciation et le retrait de la version 8.0 du client Remote Desktop pour macOS pour le 1er septembre. Microsoft recommande l’usage de la version 10 du client Remote Desktop. Cette dernière est disponible depuis l’AppStore.

    La version 10.0 apporte notamment les nouveautés suivantes :

    • Une nouvelle expérience utilisateur
    • Les redirections de périphériques dans la session distante
    • L’utilisation des raccourcis macOS dans la session distante (couper/copier/coller)

     

    Vous pouvez importer les configurations de la version 8.0 si vous utilisez la version 8.0.43 via la fonction import connections.

    Source : https://cloudblogs.microsoft.com/enterprisemobility/2018/07/13/deprecation-of-the-remote-desktop-8-0-client-for-macos/

    • 5/8/2018

    [Windows 7/Server 2008 R2] Sysprep échoue si Windows Management Framework 5.1 est installé

    Brandon Linton (MSFT) a publié un billet pour parler d’un problème qui touche la création d’images Windows 7 SP1 ou Windows Server 2008 R2 SP1. Le problème survient si vous installez Windows Management Framework 5.1 et que vous exécutez un sysprep. Vous recevez alors les erreurs :

    Sysprep_Generalize_MiStreamProv: RegDeleteValue for target uri failed with error = 2[gle=0x00000002]

    Sysprep_Generalize_MiStreamProv: RegDeleteValue for full payload time failed with error = 2[gle=0x00000002]

     

    Pour contourner le problème, vous devez passer la valeur de registre LastFullPayloadTime à 0 (DWORD) au niveau de la clé HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\StreamProvider

    Source : https://blogs.technet.microsoft.com/brandonlinton/2018/05/03/sysprep-fails-if-installing-windows-management-framework-5-1/

    • 5/8/2018

    Un référentiel de toutes les commandes Windows

    Microsoft a publié un PDF comportant toutes les commandes Windows sous forme d’une liste alphabétique. Ceci peut être particulièrement utile pour du scripting. On y retrouve la syntaxe, les paramètres, etc. Ce fichier est une extraction de la documentation.

    Télécharger Windows Commands Reference

    • 4/8/2018

    [Intune] Microsoft répond à toutes les questions que vous vous posez sur les certificats Apple APNs

    L’équipe du support Intune a publié un billet pour rappeler l’importance des certificats APNs pour la gestion des périphériques iOS et macOS avec Microsoft Intune. L’article explique :

    • A quoi servent les certificats APNs ?
    • Quelle est la durée de validité ? 1 an
    • Qu’est-ce qu’il se passe si vous ne renouvelez pas le certificat avant l’expiration ? Vous ne pouvez plus enregistrer de nouveaux périphériques iOS et vous pouvez expérimenter des problèmes de gestion des périphériques existants.
    • Est-ce que vous devez renouveler votre certificat APN ou en obtenir un nouveau ? Vous devez le renouveler pour ne pas avoir à réenregistrer les périphériques déjà gérés.
    • Comment savoir si le certificat APN va expirer ?
    • Comment renouveler le certificat ?
    • Si vous avez plusieurs certificats APNs, comment savoir lequel vous devez renouveler ?
    • Comment changer l’identifiant Apple utilisé par le certificat APN existant ? C’est une erreur assez commune. Plutôt que d’utiliser un compte générique, c’est celui d’un membre du support informatique qui est utilisé. Que se passe-t-il s’il quitte l’entreprise. Vous pouvez contacter Apple pour changer l’Apple ID associé au certificat.

    Pour en apprendre plus : Intune and the APNs certificate: FAQ and common issues

    • 4/8/2018

    [WD ATP] Exemples de requêtes pour le Threat Hunting

    Windows Defender Advanced Threat Protection est un service initialement inclus dans Windows 10 proposant une solution d’analyse, d’investigation et de réponse (forensic) permettant d’améliorer la détection et l’alerting. Il offre des actions de réponse et une vision courante des attaques possibles. Il permet de répondre à des attaques comme celles de ransomwares, malwares, etc.

    Une des nouvelles fonctionnalités permet de chercher des traces de menaces sur l’ensemble des machines. Threat Hunting permet de lancer des actions sur tous les éléments constitutifs d’une machine (fichiers, dossiers, registre, communications, etc.)

    Microsoft a mis à disposition des exemples de requêtes permettant d’utiliser cette fonctionnalité : https://github.com/Microsoft/WindowsDefenderATP-Hunting-Queries

    Par exemple pour trouver les machines où la trace (hash) d’un fichier a été détecté, vous pouvez utiliser la requête :

    // Find the machines on which this file was seen
    // TODO - set file hash to be a SHA1 hash of your choice...
    let fileHash = "e152f7ce2d3a4349ac583580c2caf8f72fac16ba";
    find in (FileCreationEvents, ProcessCreationEvents, MiscEvents, RegistryEvents, NetworkCommunicationEvents, ImageLoadEvents)
    where SHA1 == fileHash or InitiatingProcessSHA1 == fileHash
    project ComputerName, ActionType, FileName, InitiatingProcessFileName, EventTime, SHA1, InitiatingProcessSHA1
    | project ComputerName, ActionType, EventTime,
              FileName = iff(SHA1 == fileHash, FileName, InitiatingProcessFileName),
              MatchedSide=iff(SHA1 == fileHash, iff(InitiatingProcessSHA1 == fileHash, "Both", "Child"), "Parent")
    | summarize makeset(ActionType), FirstEventTime=min(EventTime), (LastEventTime, LastActionType)=arg_max(EventTime, ActionType) by FileName, MatchedSide, ComputerName
    | top 1000 by LastEventTime desc
    | sort by ComputerName, LastEventTime desc

    • 3/8/2018

    Les modèles d'administration (ADMX) pour Windows 10 1803

    Ils sont sortis il y a plusieurs mois mais il est toujours bien de le rappeler les modèles d’administrations (ADMX, ADML) Active Directory pour Windows 10 1803 (Spring Creator Updates) sont disponibles. Les modèles d’administrations pour Active Directory permettent d’ajouter les paramètres permettant de personnaliser les paramétrages et valeurs de registre dédiées à Windows 10.

    Télécharger Administrative Templates (.admx) for Windows 10 Creators Update