Jean-Sébastien DUCHENE Blog's

Actualité, Tips, Articles sur l'ensemble des Technologies Microsoft (SCCM/SMS, EMS, SCOM, SCSM, App-V, MDOP, Azure ...)
    • 16/4/2018

    [Intune] Les nouveautés du mois de Mars 2018

    Microsoft vient d’annoncer la mise à disposition d’un nouvel ensemble de fonctionnalités pour Microsoft Intune.

    Les fonctionnalités suivantes sont ajoutées :

    Enregistrement des périphériques et Portail d’entreprise

    • [Général] Personnalisez les thèmes de votre portail d'entreprise avec des codes hexadécimaux. Lorsque vous entrez votre code hexadécimal, Intune détermine la couleur du texte qui offre le plus haut niveau de contraste entre la couleur du texte et la couleur de fond. Vous pouvez prévisualiser à la fois la couleur du texte et le logo de votre entreprise par rapport à la couleur dans Mobile apps > Company Portal.
    • [Général] Afin de donner aux utilisateurs finaux plus de contrôle sur leurs données et leur vie privée, Microsoft a publié des mises à jour de aux documents qui expliquent comment visualiser et supprimer les données stockées localement par le portail de l'entreprise. Vous pouvez trouver ces mises à jour sur :
    • [Android] Mise à jour de l’application Portail d’entreprise pour suivre les bonnes pratiques de design d’Android. Vous pouvez voir les changements via la page What's new in app UI.
    • [Windows 10] Ajout du support de l'affichage des HoloLens et des périphériques Surface Hub enregistrés par Intune sur l'application du Portail de l'entreprise pour Android.
    • [Windows 10] Les utilisateurs qui enregistrent un périphérique en utilisant le Portail d'entreprise sous Windows 10 build 1703 et plus sont maintenant en mesure de compléter la première étape de l’enregistrement sans quitter l'application. Vous pouvez voir les changements via la page What's new in app UI.
    • [Windows 10] Amélioration des termes et du langage utilisé dans le portail d'entreprise pour Windows 10 afin qu'il soit plus convivial et plus spécifique à votre entreprise.
    • [iOS] Vous pouvez créer des catégories d’ebooks personnalisées et ensuite assigner des ebooks VPP à ces catégories personnalisées. Les utilisateurs peuvent alors voir les catégories d’ebooks nouvellement créées et les livres assignés aux catégories.

    Gestion des périphériques

    • [Général] Exporter tous les périphériques dans des fichiers CSV avec Internet Explorer, Microsoft Edge ou Chrome. La fonction est disponible depuis la vue Devices > All devices. Avec Internet Explorer, vous pouvez exporter jusqu’à 10 000 périphériques par fichier et ainsi obtenir plusieurs fichiers. Edge et Chrome vont au-delà de 30 000 périphériques.
    • [Général] J’en avais parlé à l’époque, Microsoft a introduit un Toggle dans Intune sur Azure que les entreprises peuvent utiliser pour traiter les périphériques sans aucune stratégie assignée comme conforme (fonction de sécurité désactivée) ou traiter ces périphériques comme non conforme (fonction de sécurité activée). Cela garantira l'accès aux ressources seulement après l'évaluation de la conformité de l'appareil.
    • [Général] Vous pouvez maintenant cibler les stratégies de conformité aux périphériques dans les groupes de périphériques.
    • [Général] Une nouvelle colonne nommée Management name est disponible sur la tuile de l'appareil. La colonne est optionnelle et non affichée par défaut. Il s'agit d'un nom auto-généré, non modifiable, assigné par périphérique, basé sur la formule suivante :
      • Le nom par défaut du périphérique
      • Pour les périphériques ajoutés en masse : <PackageId/ProfileId>
    • [Général] Vous pouvez utiliser le fully distinguished name comme sujet pour les certificats SCEP.
    • [iOS] La Enhanced jailbreak detection est un nouveau paramètre de conformité qui améliore la façon dont Intune évalue les périphériques jailbreakés. Le réglage fait que l'appareil s'enregistre plus fréquemment avec Intune, ce qui utilise les services de localisation de l'appareil et a un impact sur l'utilisation de la batterie.
    • [iOS] Après l'application d'une stratégie de conformité ou de configuration à un périphérique iOS, les utilisateurs sont invités à définir un code PIN toutes les 15 minutes. Les utilisateurs sont continuellement sollicités jusqu'à ce qu'un code PIN soit défini.
    • [Android] Réinitialisation des mots de passe pour les périphériques Android 8.0 (Android O) avec des profils de travail (Work Profiles). Lorsque vous envoyez une demande de "Reset password" à un appareil Android 8.0, il définit un nouveau mot de passe de déverrouillage de l'appareil. Le mot de passe est envoyé et prend effet immédiatement.
    • [Windows 10] Intune vous permet de contrôler l'installation des mises à jour automatiques à l'aide des paramètres Windows Update Ring. Avec cette mise à jour, vous pouvez programmer des mises à jour récurrentes, y compris la semaine, le jour et l'heure.

    Gestion des applications

    • [Général] Public Preview pour les sites web Azure Active Directory peuvent avoir besoin de l'application Intune Managed Browser et supporter le Single Sign-On pour le Managed Browser. En utilisant Azure Active Directory (Azure AD), vous pouvez maintenant restreindre l'accès aux sites Web sur les périphériques mobiles à l'application Intune Managed Browser. Dans le navigateur géré, les données du site Web demeureront sécurisées et séparées des données personnelles de l'utilisateur final. De plus, le navigateur géré prendra en charge les fonctions SSO pour les sites protégés par Azure AD. Cette fonctionnalité s'applique à des sites comme Outlook Web Access (OWA) et SharePoint Online, ainsi qu'à d'autres sites d'entreprise comme les ressources intranet accessibles via l’Azure AD Application Proxy.
    • [Général] Les stratégies de protection MAM peuvent être ciblées en fonction de l'état de gestion.
      • Périphériques Android - Vous pouvez cibler les périphériques non gérés, les périphériques gérés par Intune et les profils Android Enterprise gérés par Intune (anciennement Android for Work).
      • Périphériques iOS - Vous pouvez cibler les périphériques non gérés (MAM uniquement) ou les périphériques gérés par Intune.
    • [iOS] Alertes pour l’expiration des applications métiers iOS pour Microsoft Intune. Lors du téléchargement d'une nouvelle version de l'application iOS, Intune supprime la notification d'expiration de la liste des applications. Cet avis d'expiration ne sera actif que pour les nouvelles applications iOS téléchargées. Un avertissement apparaît 30 jours avant l'expiration du profil de provisionnement de l'application iOS LOB. Lorsqu'il expire, l'alerte devient Expiré.
    • [Android] Android Enterprise (anciennement connu sous le nom d'Android for Work) prend en charge l'inclusion et l'exclusion de groupes, mais ne prend pas en charge les groupes prédéfinis Tous les utilisateurs et Tous les périphériques intégrés.

    Configuration des périphériques

    • [Android] Par défaut, Android empêche les contacts du profil de travail de se synchroniser avec les périphériques Bluetooth. Par conséquent, les contacts du profil de travail ne sont pas affichés sur l'identification de l'appelant pour les appareils Bluetooth comme le kit main libre. Avec cette mise à jour, il y a un nouveau paramètre dans Android for Work > Device restrictions > Work profile settings: Contact sharing via Bluetooth.
    • [Windows 10] Pour Windows Defender Exploit Guard, on retrouve six nouveaux paramétrages Attack Surface Reduction ainsi qu’une extension de la fonctionnalité de protection de dossiers via le contrôle d’accès :
      • Advanced ransomware protection.
      • Flag credential stealing from the Windows local security authority subsystem
      • Process creation from PSExec and WMI commands
      • Untrusted and unsigned processes that run from USB
      • Executables that don’t meet a prevalence, age, or trusted list criteria
      • Protection des dossiers : Block disk modification
    • [Windows 10] Intune vous donne le contrôle pour gérer les mises à jour logicielles. Avec cette mise à jour, la propriété Restart checks est disponible et activée par défaut. Pour ignorer les vérifications typiques qui se produisent lorsque vous redémarrez un appareil (utilisateurs actifs, niveaux de batterie, etc.), sélectionnez Skip.
    • [Windows 10] De nouveaux canaux Windows 10 Insider Preview sont disponibles pour les rings de déploiement. Windows Insider build ‐ Fast, Windows Insider build ‐ Slow ,Release Windows Insider build.
    • [Windows 10] De nouveaux paramétrages Windows Defender Application Guard : Enable graphics acceleration et SaveFilesToHost.
    • [macOS] Vous pouvez configurer Gatekeeper pour protéger vos périphériques contre les applications en contrôlant où les applications peuvent être téléchargées. Vous pouvez configurer les sources de téléchargement suivantes : Mac App Store, Mac App Store et développeurs identifiés, ou Anywhere. Vous pouvez configurer si les utilisateurs peuvent installer une application en utilisant control-clic pour remplacer ces contrôles Gatekeeper. Ces paramètres se trouvent sous Device configuration -> Create profile -> macOS -> Endpoint protection.
    • [macOS] Vous pouvez configurer le pare-feu d’un ordinateur Mac. Vous pouvez l'utiliser pour contrôler les connexions sur une base par application, plutôt que sur une base par port. Cela facilite l'obtention des avantages de la protection par pare-feu et aide à empêcher les applications indésirables de prendre le contrôle des ports réseau ouverts pour les applications légitimes. Cette fonction se trouve sous Device configuration -> Create profile -> macOS -> Endpoint protection.

    Plus d’informations sur : https://docs.microsoft.com/en-us/intune/whats-new

    • 15/4/2018

    [Exchange] Fin de support prochain pour Exchange Server 2010 et fin de support principal pour Exchange Server 2013

    Depuis le 10 Avril 2018, Exchange Server 2013 est entré dans la phase de support étendu. Cela signifie que le produit ne reçoit que des mises à jour de sécurités et critiques. La dernière mise à jour cumulative est prévue pour Juin 2018 avec le Cumulative Update 21. Il est possible que Microsoft publie d’autre mise à jour cumulative pour grouper des mises à jour de sécurité mais c’est une décision qui sera choisie par Microsoft.

    En outre, c’est l’occasion de rappeler qu’Exchange Server 2010 atteindra la fin de support pour le 14 Janvier 2020. Ainsi il n’y aura plus de support technique si un problème survient, plus de correction de bugs pour des problèmes de stabilité, plus de mises à jour de sécurité pour des problèmes de sécurité, plus de mises à jour des fuseaux horaires.

     

    Plus d’informations sur :

    • 14/4/2018

    Le Correctif cumulatif 20 pour Exchange Server 2013 est disponible

    L’équipe Exchange vient de publier le 20ème Cumulative Update (CU20) (15.00.1367.003) pour Exchange Server 2013. Pour rappel, Microsoft a changé la stratégie d’assistance sur le cycle de vie d’Exchange ne nécessitant plus l’application des derniers Cumulative Update pour être supporté.

    Ce correctif cumulatif ajoute :

    • Le support complet de TLS 1.2

    Il apporte les changements suivants :

     

    Plus d’informations sur : https://blogs.technet.microsoft.com/exchange/2018/03/20/released-march-2018-quarterly-exchange-updates/  

    Télécharger :

    • 14/4/2018

    Le Correctif Cumulatif 9 pour Exchange Server 2016 est disponible

    L’équipe Exchange vient de publier le 9ème Cumulative Update (CU9) (15.01.1466.003) pour Exchange Server 2016. Microsoft a changé la stratégie d’assistance sur le cycle de vie d’Exchange ne nécessitant plus l’application des derniers Cumulative Update pour être supporté.

    Ce correctif cumulatif ajoute :

    • Le support complet de TLS 1.2 

    Il apporte les changements suivants :

    • 4058297 Hybrid free/busy lookups fail between Exchange Server 2016 CU8 and O365
    • 4099849Can't remove a mobile device through OWA options in Exchange Server 2016
    • 4054513Mailbox usage status bar in OWA displays incorrect mailbox usage
    • 4055433User is added to an entire series when accepting a single instance through Exchange ActiveSync
    • 4057216Health mailbox's password is exposed in logs for a failed probe in Exchange Server 2016 and 2013
    • 4058373"A parameter cannot be found" error when you run Install-AntiSpamAgents.ps1 in Exchange Server 2016 CU7
    • 4058379All cross-forest meeting updates have to be accepted again in Exchange Server 2016 and 2013
    • 4058383Exchange Control Panel (ECP) redirection fails in Exchange Server 2016
    • 4058384Get-CalendarDiagnosticAnalysis shows DateTime in 12-hour clock in Exchange Server 2016 and 2013
    • 4058399Disabling a mailbox can't remove legacyExchangeDN from user's properties in Exchange Server 2016
    • 4073094Emails outside a UID range are returned when you request for emails by using IMAP
    • 4073095"550 5.6.0 CAT.InvalidContent.Exception" and email isn't delivered in Exchange Server 2016 and 2013
    • 4073104PIN can be reset on a Unified Messaging (UM)-enabled mailbox for a user outside a scoped OU
    • 4073103The Enable-Mailbox cmdlet doesn't block migrated users from provisioning in Exchange Server 2016
    • 4073107Language can't be changed when a user from a child domain tries to change language in OWA
    • 4073111Can't access a CAS website such as OWA/ECP/Autodiscover in Exchange Server 2016
    • 4073110You can't access OWA or ECP after you install Exchange Server 2016 CU8
    • 4073109Search-MailboxAuditLog -ShowDetails not showing all messages in Exchange Server 2016
    • 4073114"ADOperationException" error when OWA text verification fails in Exchange Server 2016
    • 4073214Can't enable OWA offline access in Exchange Server 2016
    • 4073531CultureNotFoundException when selecting a LCID 4096 language in OWA for Exchange Server 2016
    • 4076520MatchSubdomains isn't usable for Set-AcceptedDomain in Exchange Server 2016
    • 4076741Incorrect NDR when an administrator deletes a message from a queue in Exchange Server 2016
    • 4077655Event ID 258 "Unable to determine the installed file" after you uninstall Windows PowerShell 2.0
    • 4057290Incorrect user is returned in the ECP when one user's display name matches another user's alias
    • 4058372Blank page in Exchange Admin Center Audit Log in Exchange Server 2016
    • 4058382Can't retrieve time slot information about private calendar items as a delegate on another user's account in Exchange Server 2016
    • 4058401Administrator audit logging does not record Set-ServerComponentState cmdlet details in Exchange Server 2013 or 2016 environment
    • 4073097Monitoring probes of ECP.Proxy health checks fail on all CAS roles in Exchange Server 2013 and 2016
    • 4073098The ETS and EXS groups are incorrectly granted “SeDebugPrivilege” in Exchange Server 2016 on-premises
    • 4073108“There was a problem loading your options” error when a user accesses OWA Voice Mail options in Exchange Server 2016
    • 4077924Store Worker process crashes when you move, restore, or repair mailboxes that have issues with the logical index within the database in Exchange Server 2016
    • 4091453Update improves linguistics features and CJK handling for search in Exchange Server 2016
    • 4073392 Description of the security update for Microsoft Exchange: March 13, 2018

     

    Télécharger :

    • 13/4/2018

    Nouvelle version 17.6 de SQL Server Management Studio

    SQL Server Management Studio a été décorrélé de l’installation de SQL Server depuis la version 2016, il est maintenant possible de télécharger l’outil séparément. La version 17.6 a été mise à disposition et permet de se connecter de SQL Server 2008 à SQL Server 2017.

    Cette nouvelle version apporte :

    • Ajout du support d’Azure SQL Database Managed Instance
    • Correction d'un problème de performance clé dans SMO où les scripting tables sur SQL Server 2016 prenaient 30 secondes pour s’exécuter, mais prennent maintenant moins d'une seconde.
    • Explorateur d'objets : Ajout de paramètres pour permettre aux utilisateurs de ne pas forcer les parenthèses autour des noms lors du glisser-déposer de l'Explorateur d'objets vers la fenêtre de requête.
    • Classification des données : Améliorations et corrections de bogues.
    • Integration Services (IS) : Ajout de la prise en charge du déploiement de paquets vers SQL Database Managed Instance.
    • D’autres améliorations et corrections de bugs
      • Correction d'un problème dans AG Show Dashboard où le fait de cliquer sur "Collect Latency Data" pouvait entraîner une erreur lorsque le serveur était réglé sur une collation sensible à la casse.
      • Correction d'un problème où le SSMS signalait incorrectement un AG comme Distribué lorsque le service Cluster s'arrête.
      • Correction d'un problème lors de la création d'un AG à l'aide de la boîte de dialogue Créer un groupe de disponibilité, le ReadOnlyRoutingUrl est requis..

    Plus d’informations sur la Release Notes

    Télécharger SQL Server Management Studio (SSMS) 17.6

    • 13/4/2018

    Nouvelle version (15.0.2.389) de Power BI Report Server

    Microsoft a mis à disposition une nouvelle version (15.0.2.389) du serveur de rapports On-Premises pour Power BI et de PowerBI Desktop (2.56.5023.1043). Power BI Report Server est disponible au travers de la licence Power BI Premium. Il permet d’offrir plus de capacité aux utilisateurs pour accéder, partager et distribuer le contenu Power BI. Le but notamment de fournir un serveur On-Premises pour héberger les rapports Power BI. Le service est construit sur la technologie SQL Server Reporting Services et inclut par conséquent toutes ses capacités (comme l’exécution de rapports RDL). Outre cette publication, on retrouve le client Power BI Desktop optimisé pour Power BI Report Server.

    Cette nouvelle version de Power BI Report Server apporte :

    • Des ajouts sur les visuels : Table & Matrix, Cartesian Charts & Maps et Slicers
      • Pour les visuels de tableaux et de matrices, il a été ajouté l’alignement des cellules, les unités d'affichage et le contrôle de précision pour les champs individuels.
      • Le formatage conditionnel a été étendu pour inclure le formatage conditionnel basé sur des règles.
      • Deux nouvelles fonctionnalités pour le visuel Slicers. Le premier est le slicer réactif, ce qui vous permet de les redimensionner à des tailles et formes différentes, de l'horizontale au carré à la verticale, et les valeurs dans le slicer se réarrangent de manière réactive comme vous le faites. Pour les slicers de dates relatives, une fonction permet de définir une date d'ancrage spécifique au lieu d'être toujours relative à aujourd'hui.
    • La nouvelle fonction de bookmarking vous permet de sauvegarder des états spécifiques de votre rapport. Cet état peut inclure les filtres, les slicers, le surlignage croisé, les graphiques visibles ou non (définis par le panneau de sélection), et tout ce qui constitue votre vue actuelle. Vous avez également la possibilité de contrôler quelle partie de l'état du rapport est incluse dans un signet.
    • On retrouve des ajouts d’interactivité sur les rapports.
    • Amélioration de l’éditeur de requête avec le support de la génération des transformations "Colonnes conditionnelles" dans le cadre de l'expérience "Ajouter une colonne à partir d'exemples".
    • Améliorations majeures des performances

    Pour faire fonctionner cette version, vous avez besoin de :

    • .NET Framework 4.5.2 ou plus
    • SQL Server Database Engine (2008 ou plus), pour stocker la base de données du serveur de rapports
    • SQL Server Analysis Services (2012 SP1 CU4 ou plus), pour vos sources de données Live Analysis Services

    Plus d’informations sur : https://powerbi.microsoft.com/fr-fr/blog/power-bi-report-server-update-march-2018/

    Télécharger

    • 12/4/2018

    [Intune] Mise à jour du portail d’entreprise iOS et Android pour l’envoi des journaux de diagnostic

    Microsoft a mis à jour le portail d’entreprise de Microsoft Intune pour iOS et Android de manière à permettre l’envoi des logs directement à Microsoft. Ceci permet d’obtenir un identifiant d’incident qui peut être utilisé lorsque vous contactez le support Microsoft afin qu’ils obtiennent les fichiers de journalisation.

    Globalement l’utilisateur peut :

    • Ouvrir le menu du portail d’entreprise et cliquer sur Help
    • Choisir de contacter le support de l’entreprise
    • Choisir d’envoyer un email avec les logs et d’uploader les logs chez Microsoft ou d’envoyer les logs chez Microsoft uniquement.
    • Dans le premier cas, l’utilisateur obtient un identifiant d’incident à conserver. Il peut ensuite choisir d’envoyer les logs par email.

    Plus d’informations : https://blogs.technet.microsoft.com/intunesupport/2018/03/01/updated-workflow-for-send-diagnostic-logsget-help-in-intune-company-portal-apps-for-ios-and-android/

    • 12/4/2018

    [SCCM CB] Annonce de la fin de support du client Linux/UNIX

    A l’occasion de la sortie de System Center Configuration Manager 1802, Microsoft a annoncé la fin de support du client Linux/UNIX pour System Center Configuration Manager 1902. Vous avez donc une année pour planifier une solution de contournement puisque SCCM 1810 sera la dernière version supportant le client.

    Microsoft propose l’utilisation de l’Operations Management Suite (OMS) en lieu et place de la gestion du client Linux/UNIX proposée via Configuration Manager.

    Source : https://docs.microsoft.com/en-gb/sccm/core/plan-design/changes/whats-new-in-version-1802#deprecation-announcement-for-linux-and-unix-client-support

    • 11/4/2018

    [Azure ATP] Disponibilité Générale d’Azure Advanced Threat Protection (ATP)

    Hier je vous parlais de la sortie de la version 1.9 de Microsoft ATA. Il y a un mois, Microsoft annonçait le lancement d’Azure Advanced Threat Protection (ATP). Cette solution Cloud est l’équivalent d’ATA en apportant :

    • Une détection et une identification des activités suspectes des utilisateurs et des périphériques à l'aide du Machine Learning combiné à des détections techniques connues.
    • L’exploitation des signaux provenant du Cloud et de votre infrastructure On-Premises.
    • L’utilisation du Graph Microsoft Intelligent Security.
    • Protéger les identités et les identifiants des utilisateurs stockées dans Active Directory.
    • Fournir des informations d'attaque claires sur une ligne de temps simple pour un triage rapide.
    • Surveillez plusieurs points d'entrée grâce à l'intégration avec Windows Defender Advanced Threat Protection.

    Azure ATP analyse donc le trafic réseau des différents protocoles (Kerberos, DNS, RPC, NTLM, etc.). Vous pouvez déployer des capteurs sur les contrôleurs de domaine ou des gateways qui écouteront les communications à destination des contrôleurs de domaine et DNS via un le principe de port mirroring. En outre, ATP peut recevoir des événements depuis une SIEM, via Windows Event Forwarding, depuis le collecteur d’événements de Windows. Parmi les attaques connus qu’Azure ATP sait détecter, on retrouve :

    • Pass-the-Ticket (PtT)
    • Pass-the-Hash (PtH)
    • Overpass-the-Hash
    • Faux PAC (MS14-068)
    • Golden Ticket
    • Réplication malveillante
    • Énumération des services d’annuaires
    • Énumération des sessions SMB
    • Reconnaissance DNS
    • Force brute horizontale
    • Force brute verticale
    • Skeleton Key
    • Protocole inhabituel
    • Passage à une version antérieure du chiffrement
    • Exécution à distance
    • Création de service malveillant

    Azure ATP fait partie de l’abonnement Enterprise Mobility + Security E5 (EMS E5).

    Plus d’informations sur : https://docs.microsoft.com/en-us/azure-advanced-threat-protection/atp-technical-faq

    • 11/4/2018

    [Windows Server 2016] Problème d’import d’une mise à jour Microsoft Update dans le catalogue WSUS

    Microsoft vient de communiquer sur un problème qui touche Windows Server 2016 et le composant WSUS 5.0. Il semble qu’il ne soit pas possible d’importer une mise à jour à partir du catalogue Microsoft Update dans le catalogue WSUS. Vous recevez sur le site Internet le message: “This update cannot be imported into Windows Server Update Service because it is not compatible with your version of WSUS,"

    En attendant que Microsoft corrige le problème, vous pouvez utiliser la solution de contournement suivante :

    • Après avoir cliqué sur « Import Updates… », une fenêtre s’ouvre avec l’URL suivante : http://catalog.update.microsoft.com/... &Protocol=1.20
    • Changez le protocole 1.20 par 1.8 ; Par exemple : http://catalog.update.microsoft.com/... &Protocol=1.8

    Source : https://blogs.technet.microsoft.com/wsus/2018/03/02/catalog-import-failure/

    • 10/4/2018

    [ATA] Mise à jour 1.9 de Microsoft Advanced Threat Analytics

    Microsoft vient de publier une mise à jour 1.9 pour Microsoft Advanced Threat Analytics (ATA). Depuis maintenant plusieurs mois des cyber-attaques retentissantes se suivent ! Que l’on parle de Sony, Target, Orange, etc. Tous ont été touchés par des attaques suivies par des fuites de données sensibles. Dans 75 % des cas, l’intrusion réseau est due à une compromission des identifiants utilisateurs. Les attaquants ont changé leurs habitudes en utilisant les outils d’administration légitimes plutôt que des logiciels malveillants afin de se rendre invisibles et indétectables. Dans les attaques ciblées, les pirates peuvent mettre au point des logiciels dédiés à l’attaque pour ne pas détecter par les antivirus. Devant cette problématique latente, Microsoft a lancé une solution on-premises pour identifier les attaques de sécurité avancées avant qu’elles ne causent des dommages à l’entreprise. Microsoft Advanced Threat Analytics (ATA) est basée sur la technologie d’Aorato rachetée il y a deux ans.

    Microsoft Advanced Threat Analytics est construit sur l’analyse du comportement combiné avec la détection en temps réel des tactiques, Techniques et Procédures (TTPs) des attaquants. La solution utilise donc la technologie Deep Packet Inspection (DPI) pour analyser le trafic réseau Active Directory ainsi que les informations de sécurité et d’événements (SIEM). L’analyse comportementale ne nécessite pas la création de règles ou de stratégie, ni le déploiement d’agents. L’outil apprend continuellement des analyses effectuées. Ces techniques permettent de construire une carte et des profils pour identifier les comportements anormaux, les attaques avancées et les problèmes de sécurité connus. La solution permet de réduire considérablement les faux positifs liés à des profils définis. Le comportement de l’analyse est contextualisé en fonction des données passées et des différentes phases d’apprentissage.

    Les nouveautés de cette mise à jour sont les suivantes :

    • Ajout de détection sur la création de services suspicieux sur les contrôleurs de domaine.
    • Ajout de rapport pour les mouvements latéraux
    • Ajout d’un rapport pour les mots de passe exposés en clair.
    • Ajout d’une fonctionnalité pour taguer manuellement les entités comme étant sensibles.
    • Amélioration des capacités d’investigation sur les nouvelles pages de profil d’entité.
    • Amélioration des performances pour l’ATA Center et les Gateways afin de gérer plus de trafic réseau.

    Avant d’installer cette version, vous devez mettre à jour votre version vers ATA 1.8 (1.8.6645) ou 1.8.1 (1.8.6765).

    Plus d'informations sur : https://support.microsoft.com/en-us/help/4092172/description-of-microsoft-advanced-threat-analytics-v1-9

    Télécharger Microsoft Advanced Threat Analytics 1.9 (upgrade only version)

    • 10/4/2018

    [SCM] Les baselines pour Windows 10 1803 disponibles en version finale

    Microsoft vient d’annoncer la bêta des baselines de paramétrages de sécurité pour Windows 10 1803 (Spring Creators Update/RS4). On y retrouve les nouveaux paramétrages de cette nouvelle Build. Ces dernières s’utilisent avec Security Compliance Toolkit (SCT). Les lignes de base permettent de vérifier la conformité d’une application vis-à-vis des bonnes pratiques et recommandations Microsoft.

    Voici les différences avec la baseline pour Windows 10 1709 :

    • Deux scripts pour appliquer les paramètres à la politique locale : un pour les systèmes joints au domaine et un autre qui supprime les interdictions d'accès à distance pour les comptes locaux, ce qui est particulièrement utile pour les systèmes non joints au domaine, et pour l'administration à distance à l'aide de comptes gérés par LAPS.
    • Alignement accru sur les recommandations Advanced Auditing dans le document de référence sur l'audit de sécurité et la surveillance de Windows 10 et Windows Server 2016.
    • Mise à jour des paramétrages de protection de Windows Defender Exploit Guard (fichier EP.xml séparé).
    • Nouvelles attenuations Attack Surface Reduction (ASR) pour Windows Defender Exploit Guard.
    • Suppression de nombreux paramètres qui n'étaient plus déterminants pour fournir des mesures d'atténuation contre les menaces récentes à la sécurité. Les différences GPO sont listées dans une feuille de calcul dans le dossier Documentation du package.

    Plus d’informations sur l’article suivant : https://blogs.technet.microsoft.com/secguide/2018/03/27/security-baseline-for-windows-10-v1803-redstone-4-draft/

    Télécharger Windows 10 RS4 Security Baseline - DRAFT

    • 9/4/2018

    [SCCM 1810+] Le client SCEP pour Mac sera déprécié d’ici la fin de l’année 2018

    Dans System Center Configuration Manager Technical Preview 1803, on retrouve une règle de la fonctionnalité Management Insights qui annonce la dépréciation du client antivirus System Center Endpoint Protection (SCEP) pour les ordinateurs macOS. Ceci sera effective avec System Center Configuration Manager 1810. Ainsi les clients SCEP pour mac ne se recevront plus de mises à jour de définitions.
    Pour rappel, le client SCEP pour mac est issu d’un partenariat avec l’éditeur ESET. Microsoft fournira une solution de remplacement afin de fournir une solution antivirale pour mac.

    • 9/4/2018

    [SCCM] System Center Updates Publisher est disponible

    Microsoft a publié une nouvelle version (6.0.278.0) de son outil System Center Updates Publisher. Ce dernier permet d’intégrer des catalogues de mises à jour tierces voir de créer vos propres catalogues et mises à jour. SCUP 2017 apporte le support de Windows 10 et Windows Server 2016. En outre, il signe la fin du support de Windows 7 et WSUS 3.x (Windows Server 2008 SP2, 2008 R2).

    Cette version apporte les améliorations suivantes :

    • L’indexation pour des imports plus rapide des catalogues précédemment importés.
    • L’inclusion des certificats de signature dans les catalogues de mises à jour afin d’éviter les blocages liés aux opérations de publication.
      Note : L’ancien format de catalogue est toujours supporté mais les producteurs de catalogue doivent ajouter les informations nécessaires à leur catalogue existant
    • Les mises à jour publiées dans WSUS auront par défaut un timestamp de signature. Ceci demande un accès à Internet.
    • Amélioration de l’accessibilité.

    Cette version est compatible :

    • Windows 10, Windows 8.1, Windows Server 2012 R2, Windows Server 2016
    • System Center 2012 Configuration Manager Service Pack 2
    • System Center 2012 R2 Configuration Manager Service Pack 1
    • Une version supportée de System Center Configuration Manager current branch, System Center Configuration Manager long-term servicing branch version 1606

     

    Télécharger System Center Updates Publisher

    Plus d'informations sur : https://cloudblogs.microsoft.com/enterprisemobility/2018/03/21/system-center-updates-publisher-adds-support-for-new-oses/

    • 8/4/2018

    [SCOM 2012+] Nouveau version du Management Pack pour Active Directory Certificate Services 2016

    Microsoft vient de publier un Management Pack (10.0.0.0) pour superviser des autorités de certification Active Directory Certificate Services hébergée sur Windows Server 2016. Pour rappel, System Center Operations Manager (SCOM) fait partie de la gamme System Center, il propose une supervision souple et évolutive de l’exploitation au niveau de toute l’entreprise, réduisant la complexité liée à l’administration d’un environnement informatique, et diminuant ainsi le coût d’exploitation. Ce logiciel permet une gestion complète des événements, des contrôles proactifs et des alertes, et assure une gestion des services de bout en bout. Il établit des analyses de tendance et des rapports, et contient une base de connaissances sur les applications et le système.

    Le Management Pack supervise les éléments suivants :

    • L’état du service de l’autorité de certification
    • Certains événéments

    Note : Le Management Pack ne supporte pas les autres services du rôle (comme Online Responder…)

    Lisez le guide pour implémenter et obtenir plus d’information sur ce qui est supervisé par défaut ou ce qui doit être activé via des overrides.

    Télécharger Microsoft System Center Management Pack for AD CS 2016

    • 8/4/2018

    Nouvelle version (10.1.7) du Client Remote Desktop pour macOS

    Microsoft vient de publier une nouvelle versionne (10.1.7) du client Remote Desktop pour Mac. Cette version apporte :

    • Corrections apportées à la sécurité pour incorporer les mises à jour de chiffrement CredSSP ou les mises à jour de remédiation comme décrit dans CVE-2018-0886.
    • Amélioration de l'icône RemoteApp et du rendu du curseur de la souris pour corriger les erreurs de pointeur signalées.
    • Adresse les problèmes où les fenêtres RemoteApp sont apparues comme Connection Center.
    • Correction d'un plantage survenu lors de l'édition des ressources locales après une importation depuis Remote Desktop 8.
    • La touche ENTER sur une tuile du bureau permet de lancer la connexion.
    • En plein écran, CMD+M correspond maintenant correctement à WIN+M.
    • Les fenêtres Connection Center, Préférences et A propos répondent maintenant à CMD+M.
    • L'appui sur ENTER à partir de la feuille "Ajouter des ressources à distance" lance maintenant la découverte des flux.
    • Correction d'un problème où un nouveau flux de ressources distant apparaissait vide dans le Centre de connexion jusqu'au rafraîchissement.

     

    Tester le client Remote Desktop pour Mac

    • 2/4/2018

    [Intune] Les nouveautés du mois de Février 2018

    Microsoft vient d’annoncer la mise à disposition d’un nouvel ensemble de fonctionnalités pour Microsoft Intune. Comme vous pouvez le constater, les nouveautés sont limitées du fait des vacances de Noël mais ceci n’est peut-être que le calme avant la tempête. Par le passé, les mois qui ont suivi ont été très riches en annonces.

    Les fonctionnalités suivantes sont ajoutées :

    Enregistrement des périphériques

    • [General] La tuile Troubleshoot permet de voir les restrictions d’enregistrement qui affecte chaque utilisateur en sélectionnant Enrollment restrictions depuis la liste Assignements.
    • [Android] Si votre entreprise utilise Android for Work, vous devrez approuver manuellement l'application du portail d'entreprise pour Android afin qu'elle continue à recevoir des mises à jour automatiques de la boutique Google Play.
    • [Android] Empêcher les utilisateurs finaux d'ajouter ou de supprimer manuellement des comptes dans le profil de travail (Work Profile). Lorsque vous déployez l'application Gmail dans un profil Android for Work, vous pouvez désormais empêcher les utilisateurs finaux d'ajouter ou de supprimer manuellement des comptes dans le profil de travail en utilisant le paramètre Add and remove accounts dans Android for Work Device restrictions profile.
    • [iOS] De nouvelles options pour l’authentification utilisateur lors de l’enregistrement en masse Apple. Il est maintenant possible d’authentifier le périphérique avec le portail d’entreprise pour le programme Apple Device Enrollment Program (DEP), Apple School Manager, Apple Configurator. Ceci ouvre la voix à l’authentification à facteurs multiples sans bloquer ces méthodes d’enregistrement. Cette nouvelle méthode permet aussi d’associer l’affinité périphérique utilisateur.
    • [iOS] Intune support maintenant plusieurs comptes Apple Device Enrollment Program (DEP) et Apple School Manager. La limite est fixée jusqu’à 100 tokens différents permettant d’associer des profils d’enregistrement par token et par compte. Après la migration vers ce nouveau modèle, l’API Graph en bêta permettant de gérer Apple DEP ou ASM ne seront plus fonctionnels.
    • [iOS] La page d’aperçu affiche des alertes pour les tokens expirés ou qui expireront prochainement.

    Gestion des périphériques

    • [Général] Deux nouveaux paramétrages de vie privées sont disponibles :
      • Publish User Activities permet lorsqu’il est configuré à Block d’empêcher les expériences partagées et la découverte des ressources utilisées récemment.
      • Local activities only permet lorsqu’il est configuré à Block d’empêcher les expériences partagées et la découverte des ressources utilisées récemment basées uniquement sur les activités locales.
    • [macOS] L’administrateur peut envoyer une commande à distance d’effacement (Erase) pour les périphériques macOS. Cette commande ne peut être inversée et doit être utilisée avec précaution car elle supprime toutes les données, y compris le système d'exploitation, d'un périphérique. Il supprime également le périphérique de la gestion Intune. Aucun avertissement n'est donné à l'utilisateur et l'effacement se produit immédiatement après l'émission de la commande
    • [Windows 10] Des rapports affichant l’état de santé et des menaces pour Windows Defender. Vous pouvez ainsi voir les périphériques qui ont besoin de mettre à jour les signatures, de redémarrer, d’une intervention manuelle, d’une analyse complète et les autres états de l’agent demandant une intervention.
    • [Windows 10] Deux nouveaux paramétrages sont disponibles pour le navigateur Edge : Path to favorites file et Changes to Favorites.

    Gestion des applications

    • [Général] Microsoft vient de modifier son processus de déploiement et d’assignement des applications via Microsoft Intune pour permettre d’offrir une option d’exclusion de groupes. Auparavant pour exclure un groupe, il fallait assigner l’application et marquer le type de déploiement comme étant non applicable (Not applicable). Cette option ne sera plus disponible et sera remplacée par la capacité de spécifier des groupes exclus (Excluded Group).
    • [Général] Vous pouvez maintenant créer des exceptions à la stratégie de transfert de données d'Intune Mobile Application Management (MAM) pour ouvrir des applications non gérées spécifiques. Ces applications doivent être connues de l'IT. Hormis les exceptions que vous créez, le transfert de données reste limité aux applications gérées par Intune lorsque votre stratégie de transfert de données est définie sur les applications gérées uniquement. Vous pouvez créer les restrictions en utilisant des protocoles (iOS) ou des paquets (Android).
    • [Général] Intune dans le portail Azure prend désormais en charge les ensembles de licences d'application connexes comme un seul élément d'application dans l'interface utilisateur. De plus, toutes les applications sous licence hors ligne synchronisées à partir de Microsoft Store for Business seront regroupées en une seule entrée d'application et tous les détails de déploiement des paquets individuels seront migrés vers l'entrée unique. Pour afficher les licences d'applications associées dans le portail Azure, sélectionnez Licences d'applications depuis la lame Applications mobiles.
    • [Windows 10] Support des applications hors ligne depuis le Microsoft Store for Business. Les applications hors ligne que vous avez achetées sur le Microsoft Store for Business sont maintenant synchronisées avec le portail Azure. Vous pouvez déployer ces applications dans des groupes de périphériques ou d'utilisateurs. Les applications hors ligne sont installées par Intune, et non pas par le store.
    • [Windows 10] Intune dispose maintenant d'une extension du mode d'apprentissage Windows Information Protection (WIP). En plus d'afficher des informations sur les applications compatibles WIP, vous pouvez afficher un résumé des périphériques qui ont partagé des données de travail avec les sites Web. Grâce à ces informations, vous pouvez déterminer quels sites Web doivent être ajoutés aux politiques WIP des groupes et des utilisateurs.
    • [Windows 10] Un paramètre de la stratégie Windows Information Protection (WIP) vous permet maintenant de contrôler si les données chiffrées WIP sont incluses dans les résultats de recherche Windows. Définissez cette option de stratégie de protection des applications en sélectionnant Allow Windows Search Indexer to search encrypted items dans les paramètres avancés de la stratégie Windows Information Protection. La stratégie de protection de l'application doit être définie sur la plate-forme Windows 10 et la stratégie d'application Enrollement state doit être définie sur With enrollment.
    • [Windows 10] Vous pouvez configurer une application MSI connue pour ignorer le processus de vérification de version. Cette capacité est utile pour éviter d'entrer dans une situation rare. Par exemple, ceci peut se produire lorsque l'application mise à jour automatiquement par le développeur de l'application est également mise à jour par Intune. Les deux pourraient essayer d'appliquer une version de l'application sur un client Windows, ce qui pourrait créer un conflit. Pour ces applications MSI mises à jour automatiquement, vous pouvez configurer le paramètre Ignore app version dans la tuile App Information. Lorsque ce paramètre passe à Oui, Microsoft Intune ignore la version de l'application installée sur le client Windows.
    • [iOS/Android] Un nouveau type de déploiement permet de déployer les applications Office 365 sur les périphériques iOS et Android. Ceci inclut Word, Excel, PowerPoint, et OneDrive.
    • [iOS] Vous pouvez révoquer des licences pour toutes les applications iOS VPP d’un token VPP donné.
    • [iOS] Pour un périphérique donné qui possède une ou plusieurs applications iOS Volume-Purchase Program (VPP), vous pouvez révoquer la licence d'application basée sur le périphérique associée. La révocation d'une licence d'application ne désinstalle pas l'application VPP correspondante à partir du périphérique. Pour désinstaller une application VPP, vous devez modifier l'action d'affectation à Uninstall.
    • [iOS] Les stratégies de protection des applications Intune prennent désormais en charge un paramètre qui contrôle FaceID sur les périphériques iOS. Ce paramètre concerne les périphériques qui prennent en charge la fonctionnalité FaceID (actuellement, seul l'iPhone X est pris en charge). Ce réglage est indépendant des commandes TouchID actuellement prises en charge. Les entreprises ont la possibilité de choisir de faire confiance ou non à FaceID en tant qu'invite PIN valide comme alternative aux contrôles TouchID.

    Configuration des périphériques

    • [Général] Vous pouvez affecter une stratégie de configuration d'application à un groupe d'utilisateurs et de périphériques en combinant les affectations d'inclusion et d'exclusion. Les affectations peuvent être choisies soit comme une sélection personnalisée de groupes, soit comme un groupe virtuel. Un groupe virtuel peut inclure tous les utilisateurs, tous les périphériques ou tous les utilisateurs + tous les périphériques.
    • [Général] Lorsqu'un e-mail est envoyé pour signaler un périphérique non conforme, des détails sur le périphérique non conforme sont inclus.
    • [iOS/Android] Les solutions d’impression mobiles sans fil de PrinterOn permetteront aux utilisateurs d’imprimer depuis n’importe où à travers un réseau sécurisé. PrinterON s’intégrera avec le SDK Microsoft Intune App pour iOS et Android. Vous serez en mesure de cibler les stratégies de protection des applications sur cette application. Les utilisateurs finaux pourront télécharger l'application PrinterOn for Microsoft via le Play Store ou iTunes.
    • [Windows 10] Un paramètre de la stratégie de Windows Information Protection (WIP) vous permet maintenant de spécifier quelles extensions de fichier sont automatiquement chiffrées lors de la copie à partir d'un partage SMB à l'intérieur des limites de l'entreprise, comme défini dans la stratégie WIP.
    • [Windows 10] Vous pouvez créer une stratégie de mise à niveau de l'édition Windows 10 qui met à niveau les périphériques Windows 10 vers Windows 10 Education, Windows 10 Education N, Windows 10 Professional, Windows 10 Professional N, Windows 10 Professional Education et Windows 10 Professional Education N.
    • [Windows 10] Vous pouvez maintenant configurer à distance les paramètres du compte de ressources pour les Surface Hub. Le compte de ressources est utilisé par un Surface Hub pour s'authentifier sur Skype/Exchange afin qu'il puisse rejoindre une réunion. Vous voudrez créer un compte de ressources unique pour que le Surface Hub puisse apparaître dans la salle de conférence. Par exemple, un compte de ressources tel que la Conference Room B41/6233.

    Plus d’informations sur : https://docs.microsoft.com/en-us/intune/whats-new

    • 30/3/2018

    [SCCM 1802] System Center Configuration Manager 1802 est disponible !

    Microsoft vient de mettre à disposition la version finale (5.00.8634.1000) de System Center Configuration Manager 1802. ConfigMgr a subi une refonte de sa structure pour permettre des mises à jour aisées de la même façon que l’on peut le voir avec Windows 10. C’est pourquoi la fonctionnalité Updates and Servicing (nom de code Easy Setup) a été introduite. Vous devez donc utiliser cette dernière pour mettre votre site System Center Configuration Manager 1706. Si vous utilisez System Center 2012 Configuration Manager, vous devez mettre à jour votre site vers System Center Configuration Manager 1702 avant de pouvoir passer à cette version.

    Note : Un script PowerShell est disponible pour permettre d’opter pour la première vague de déploiement.

    System Center Configuration Manager 1802 comprend les nouveautés suivantes :

    Administration

    • Annonce de la dépréciation du support du client Linux et UNIX pour dans un an. En effet, le client ne sera pas inclus dans la version 1902. Configuration Manager 1810 sera la dernière version qui inclura les clients Linux et UNIX. Microsoft recommande l’utilisation d’Operations Management Suite (OMS) pour la gestion des serveurs Linux.
    • Arrivée de la fonctionnalité Management Insights permettant d’obtenir des informations sur l’état de l’environnement en fonction des données de la base de données. Depuis la partie Administration > Management Insights > All, vous pouvez voir :
      • Les applications sans aucun déploiement actif. Ceci permet de vous aider à nettoyer les applications.
      • Les collections sans membres.
      • Les versions de clients dépassées
      • L’évaluation des prérequis Co-Management
      • L’activation de la jointure hybride sur Azure Active Directory pour vos périphériques.
      • La modernisation de vos infrastructures d’identité et d’accès
      • La mise à jour de vos machines vers Windows 10 1709 ou plus.
      • La configuration de Windows Telemetry et de l’identifiant Commercial.
      • La connexion de Configuration Manager à Upgrade Readiness
      • L’utilisation de la nouvelle version du Software Center.
      • La redirection des utilisateurs vers le Software Center en lieu et place du catalogue d’applications
    • Support des périphériques Windows 10 ARM64 pour la gestion traditionnelle via le client SCCM. Ceci inclut en autre l’inventaire matériel et logiciels, les mises à jour logicielles ou la gestion des applications. Le déploiement de système d’exploitation n’est pas supporté.
    • Il est maintenant possible de réassigner un point de distribution vers un autre site primaire sans avoir à redistribuer le contenu. Ceci ne fonctionne uniquement si le système de site ne comprend le rôle point de distribution.
    • Support des certificats CNG (Cryptography API: Next Generation) pour les rôles de système de site en mode HTTPS suivants :
      • Management Point
      • Distribution Point
      • Software Update Point
      • State Migration Point.
    • A partir de cette version, vous pouvez configurer des relations de bascule entre groupe de limites pour les Management Points. Ceci permet d’obtenir un meilleur contrôle pour savoir quel Management Point un client doit utiliser. Lors de la mise à niveau du site vers cette version, Configuration Manager ajoute tous les Management Points n'ayant pas accès à Internet dans le groupe de limites par défaut du site. Ce comportement de mise à niveau garantit que les versions client plus anciennes continuent à communiquer avec les Management Points. Pour tirer pleinement parti de cette fonctionnalité, déplacez vos points de gestion vers les groupes de limites souhaités. Le basculement des Management Points des Boundary Groups ne modifie pas le comportement pendant l'installation du client (ccmsetup). Si la ligne de commande ne spécifie pas le Management Point initial à l'aide du paramètre /MP, le nouveau client reçoit la liste complète des Management Points disponibles. Pour son processus de bootstrap initial, le client utilise le premier Management Point auquel il peut accéder. Une fois que le client s'inscrit sur le site, il reçoit la liste des Management Points correctement triés avec ce nouveau comportement.  Notez que le déploiement de système d’exploitation ne prend pas en compte les groupes de limites.

    • Cloud Management Gateway:
      • La fonctionnalité Cloud Management Gateway n’est plus en préversion.
      • Support d’Azure Resource Manager (ARM) pour le déploiement de la Cloud Management Gateway. Ceci permet de s’affranchir de l’usage des certificats d’administration Azure. L’assistant permet toujours de faire des déploiements classiques puisque la Cloud Management Gateway ne supporte toujours pas le déploiement ARM pour des souscriptions CSP. Il n’existe pas de scénario permettant de migrer une instance CMG classiques vers le modèle ARM. Il faut pour cela recréer une nouvelle instance et supprimer l’ancienne.
    • Run Script: Fonctionnalité de création et exécution des scripts PowerShell
      • A partir de cette version, la fonctionnalité Run Scripts n’est plus en préversion.
      • Il est maintenant possible de configurer des étendues de sécurité pour la fonctionnalité Run Scripts.
      • Microsoft a intégré une expérience de supervision intégrée dans l’assistant Run Scripts.
      • Il est maintenant possible d’importer des scripts PowerShell signées. Notez qu’il n’est pas possible de copier/coller ce genre de script.
      • La fonctionnalité Run Scripts retourne maintenant le résultat du script dans un format JSON.

    • Silverlight n’est plus installé automatiquement sur les clients.
    • Lorsque vous utilisez le Remote Control sur un client avec plusieurs moniteurs avec différentes résolutions DPI, le curseur de la souris correspond maintenant correctement entre les moniteurs.
    • Les collections renommées sont maintenant correctement affichées dans la liste des règles d’appartenance des autres collections où elles pouvaient être utilisées et inclues.
    • La vue Device de la console d’administration affiche maintenant les utilisateurs principaux d’une machine.
    • La vue Device de la console d’administration permet maintenant l’ajout d’une colonne pour afficher le dernier utilisateur connecté.
    • La vue Device de la console d’administration affiche maintenant les utilisateurs principaux d’une machine.
    • La partie Software Center des paramétrages du client affiche maintenant un espace de prévisualisation du logo et/ou du nom de l’organisation.
    • Arrivée d’un tableau de bord Surface pour afficher le pourcentage de Surface, le pourcentage de modèles Surface et le TOP 5 des versions de firmware.

    Co-Management

    • Transition de la charge Endpoint Protection vers Microsoft Intune en utilisant le Co-Management.
    • Un tableau de bord sur le Co-Management permet de voir le pourcentage de périphérique configurés pour le Co-Management, la distribution des systèmes, l’état du Co-Management pour les machines concernées et le nombre de machines qui sont associées à une charge de travail qui a été transférée vers Microsoft Intune.

    Gestion du contenu

    • Vous pouvez utiliser les groupes de limites (Boundary Groups) pour réguler la distribution du contenu sur votre réseau lors de l’utilisation de la fonctionnalité de P2P Delivery Optimization pour partager le contenu entre clients Windows. On retrouve ainsi un nouveau paramétrage client qui ne s’applique qu’à Windows 10.

    • Affinité des Cloud Distribution Points par site. Cette fonctionnalité profite aux entreprises avec une hiérarchie multisites et dispersée géographiquement en utilisant des Cloud Distribution Points. Lorsqu'un client sur Internet recherche du contenu, auparavant, il n'y avait pas d'ordre dans la liste des Cloud Distribution Points reçus par le client. Ce comportement pourrait faire en sorte que les clients basés sur Internet reçoivent du contenu à partir de Cloud Distribution Points géographiquement éloignés. Le téléchargement de contenu à partir d'un tel serveur distant est généralement plus lent qu'un serveur plus proche. Avec cette fonctionnalité, un client basé sur Internet reçoit une liste ordonnée. Cette liste donne la priorité aux Cloud Distribution Points à partir du site assigné au client. Ce comportement permet à l'administrateur de préserver son design pour les téléchargements de contenu à partir des ressources du site.

    Software Center

    • Les périphériques joints à Azure Active Directory peuvent maintenant voir et installe des applications ciblées à l’utilisateur via le Software Center. Pour cela, vous devez déployer une Cloud Management Gateway, un Cloud Distribution Point, intégrer votre site à Azure AD et avoir un Management Point fonctionnant en HTTPS.
    • L’utilisateur peut maintenant sélectionner et installer plusieurs applications dans le Software Center. La multi-select se fait si l’application est visible à l’utilisateur, si elle n’est pas déjà installée, si une approbation n’est pas nécessaire, et si l’application est disponible en libre-service.
    • Le Software Center affiche des informations additionnelles sur l’état de conformité et notamment les règles de conformité du service Device Health Attestation.
    • Suite à un retour sur UserVoice, les applications installées peuvent être cachées de l’onglet Applications du Software Center via le paramétrage client Hide Installed Applications in Software Center.
    • Vous pouvez cacher les applications disponibles à l’utilisateur et nécessitant une approbation du Software Center.

     

    Inventaire

    • Amélioration de l’inventaire matériel pour que les nouvelles classes ajoutées puissent supporter des propriétés de type chaine de caractères avec une longueur de plus de 255 caractères. Ceci ne s’applique pas aux clés.
    • Ajout d’un nouveau rapport pour suivre l’état de maintenance Windows 10 des machines. Windows 10 Servicing details for a specific collection affiche l’identifiant de la resource, le nom NetBIOS, le nom du système d’exploitation, la Build, la Branch et l’état de maintenance.
    • Un rapport permet d’afficher le nombre de machines avec un navigateur spécifique par défaut.
    • Un rapport (Windows AutoPilot Device Information) permet d’afficher les informations Windows AutoPilot des périphériques Windows 10 1703 ou plus. Ceci permet de récupérer les informations pour les injecter directement dans le Microsoft Store for Business.

    Déploiement d’applications

    • Il est maintenant possible de déployer une application avec le compte System tout en laissant l’utilisateur interagir avec l’interface graphique. Ceci est très pratique pour toutes les installations qui ne permettent pas une exécution en mode silencieux ou lorsque des configurations spécifiques sont nécessaires. Vous devez pour cela activer l’option au niveau du type de déploiement: Allow users to interact with the program installation. Il est aussi possible d’utiliser ce mécanisme dans des séquences de tâches pour la création d’une image de référence après l’étape Setup Windows and Configuration Manager ou la mise à niveau du système d’exploitation dans le groupe Post-Processing. La séquence de tâches est alors mise en pause jusqu’à ce que l’utilisateur complète les informations.

    • L’approbation des demandes d’applications pour des utilisateurs se fait maintenant par périphérique et non plus pour l’ensemble des périphériques.
    • Suite à un retour dans UserVoice, il est possible de ne pas automatiquement mettre à jour les versions remplacées des applications. L’option est disponible lors de la création du déploiement sur la page Deployment Settings. Vous pouvez activer ou désactiver Automatically upgrade any superseded versions of this applications.

     

    Mises à jour logicielles

    • Grace aux retours sur UserVoice, il est maintenant possible de planifier des règles de déploiement automatique (ADR) décalée du jour de base. Par exemple, le but est de décaler l’évaluation deux jours après le deuxième mardi du mois.
    • Amélioration du tableau de bord Office 365 Client Management pour afficher la liste des périphériques lorsque vous sélectionnez des sections du graphe.
    • Avec le Hotfix 2 de Configuration Manager 1710, Microsoft a remis le comportement précédent lors de la mise à niveau du client Office 365 et qu’une application Office est ouverte. Ainsi, le redémarrage du poste est initié pour permettre la mise à jour du client sans impacter le travail de l’utilisateur.

     

    Déploiement de systèmes d’exploitation

    • Arrivée de la fonctionnalité Phased Deployment en préversion afin d’automatiser et coordonner le séquencement du déploiement d’un logiciel sans avoir à créer plusieurs déploiements. Ceci permet de choisir plusieurs collections et des seuils de validation (pourcentage de succès, nombre de clients installés) pour passer à la collection suivante. Les déploiements phasés ne supportent pas encore l’installation par PXE ou média.
    • L’assistant de déploiement pour les séquences de tâches permet de créer des modèles de déploiement.
    • La séquence de tâches d’In-Place Upgrade de Windows 10 est maintenant supportée pour les clients gérés sur Internet par la Cloud Management Gateway. Ceci permet de supporter la mise à niveau des clients distants sans à ce qu’ils aient besoin de se connecter à Internet. Vous devez pour cela cochez la case Allow task sequence to run for client on the Internet sur le déploiement dans la partie User Experience et Download all content locally before starting task sequence.
    • Amélioration à la séquence de tâches d’In-Place Upgrade de Windows 10 pour inclure des groupes additionnels avec les actions recommandées avant la mise à niveau comme la vérification de la batterie, de la connectivité, des applications incompatibles, des pilotes incompatibles, etc. ou les actions recommandées après la mise à niveau comme l’application des pilotes, la configuration des associations et applications par défaut, etc.
    • Dans Windows PE lorsque vous démarrez CMTrace, la fenêtre demandant de rendre le programme par défaut, n’est plus affichée.
    • La tâche Download Package Content permet d’ajouter des images de démarrage.
    • Amélioration de l’action Run Task Sequence pour imbriquer des séquences de tâches. Le scénario classique est l’utilisation d’une séquence de tâches pour appliquer les drivers ou installer des applications qui est elle-même appelée par plusieurs séquences de tâches parentes.
      • Support de tous les scénarios de déploiement de système d’exploitation (Software Center, PXE et media)
      • Amélioration des opérations dans la console pour permettre la copie, l’import, l’export et des avertissements lors de la suppression.
      • Support de l’assistant Create Prestage Content.
      • Intégration avec la vérification des déploiements.
      • La tâche Run Task Sequence peut être utilisée à travers plusieurs niveaux de séquence de tâches et pas simplement une relation parent-enfant. Cette capacité augmente la complexité de la séquence de tâches. Microsoft valide toujours qu’il n’y ait pas de boucles/références circulaires.

     

    Conformité des paramétrages

    • De nouveaux paramétrages de stratégie pour le navigateur Microsoft Edge sont disponibles :
      • Set Microsoft Edge browser as default
      • Allow address bar drop down
      • Allow sync favorites between Microsoft browsers
      • Allow clear browsing data on exit
      • Allow Do Not Track headers
      • Allow autofill
      • Allow cookies
      • Allow pop-up blocker
      • Allow search suggestions in address bar
      • Allow send intranet traffic to Internet Explorer
      • Allow password manager
      • Allow Developer Tools
      • Allow extensions

    • Amélioration des stratégies pour Windows Defender Exploit Guard à destination des postes Windows 1709 (ou plus) joints à Azure Active Directory avec de nouveaux paramétrages pour la réduction de la surface d’attaque et l’accès contrôlé aux dossiers :
      • Block disk sectors only
      • Audit disk sectors only
      • Use advanced protection against ransomware.
      • Block credential stealing from the Windows local security authority subsystem.
      • Block executable files from running unless they meet a prevalence, age, or trusted list criteria.
      • Block untrusted and unsigned processes that run from USB.

    • Les stratégies Windows Defender Application Guard proposent deux nouveaux paramétrages d’interaction de l’hôte :
      • Websites can be given access to the host’s virtual graphics processor.
      • Files downloaded inside the container can be persisted on the host.

     

     Plus d’informations sur cette version : What’s new in version 1802

    Pour obtenir les éléments relatifs au processus de mise à jour : https://docs.microsoft.com/en-us/sccm/core/servers/manage/updates

    • 30/3/2018

    [SCCM] La Technical Preview 1803 de System Center Configuration Manager est disponible

    Microsoft vient de mettre à disposition la Technical Preview 1803 (5.0.8636.1000) de System Center Configuration Manager. Pour rappel, ConfigMgr a subi une refonte de sa structure pour permettre des mises à jour aisées de la même façon que l’on peut le voir avec Windows 10. Si vous souhaitez installer cette Technical Preview, vous devez installer la Technical Preview 1711 puis utiliser la fonctionnalité Updates and Servicing (nom de code Easy Setup). 

    System Center Configuration Manager TP 1803 comprend les nouveautés suivantes :

    Administration

    • Les Pull Distribution Points supporte les Cloud Distribution Points comme source. Le Pull DP doit avoir un accès internet et doit pouvoir communiquer avec Microsoft Azure. Ce scénario peut être utile lorsque le lien WAN est plus rapide que le lien LAN qui relie le Pull DP aux points de distribution internes.
    • Support du téléchargement partiel par la fonctionnalité Client Peer Cache pour réduire l’utilisation WAN. Les sources Client Peer Cache peuvent maintenant diviser en différentes parties pour minimiser l’impact sur le WAN. C’est le Management Point qui fournit au client le détail permettant de suivre les différentes parties du contenu.
    • Le Software Center/Centre Logiciels affiche maintenant la prochaine fenêtre de maintenance planifiée. Cette information se trouve dans Installation Status où vous pouvez cliquer dans Upcoming. On retrouve la prochaine fenêtre de maintenance ainsi que les déploiements qui s’exécuteront dans cette plage.

    • Vous pouvez créer un onglet personnalisé dans le Software Center/Centre Logiciels pour ouvrir une page web. Ceci permet d’afficher du contenu à l’utilisateur final comme les informations de contact, de la documentation, etc. Le Software Center utilise les composants d’Internet Explorer pour afficher la page.

    • Lorsque vous utilisez le Remote Control sur un client avec plusieurs moniteurs avec différentes résolutions DPI, le curseur de la souris correspond maintenant correctement entre les moniteurs.
    • Vous pouvez maintenant effectuer des copier/coller depuis le panneau Asset details des vues Deployment et Distribution Status de l’espace Monitoring.
    • Cette version comprend une préversion des extensions SCAP. Pour rappel, Security Content Automation Protocol (SCAP) fournit une méthode de gestion des standards afin de mesurer la conformité, la vulnérabilité. SCAP est une suite de certaines normes ouvertes qui, ensemble, offrent une méthode uniforme d'analyser les systèmes informatiques et automatiquement identifier, mesurer et évaluer les problèmes potentiels de sécurité. SCAP est une initiative gouvernementale du NIST (National Institute of Standard and Technology) afin de construire le FDCC (Federal Desktop Core Configuration).

     

    Gestion des mises à jour logicielles

    • L’administrateur peut activer la configuration du client Configuration Manager pour permettre le déploiement de mises à jour tierces via System Center Updates Publisher. Ceci permet de configurer le paramétrage 'Allow signed updates for an intranet Microsoft update service location' et d’installer le certificat dans le magasin Trusted Publisher. Cette fonctionnalité se configure via les paramétrages du client dans Software Updates en mettant l’option Enable third party software updates à Yes.

     

    Plus d’informations sur : https://docs.microsoft.com/en-us/sccm/core/get-started/capabilities-in-technical-preview-1803

    • 23/3/2018

    [EMS] Nouvelle vidéo EndPoint Zone pour Mars 2018

    Brad Anderson (Corporate Vice President, Enterprise Client & Mobility) a publié une nouvelle vidéo pour parler du marcher EMM, du Managed Browser de Microsoft Intune et de son intégration avec Azure AD Application Proxy et le Co-Management de Windows 10.