Microsoft vient d’annoncer un changement concernant la publication de mises à jour de sa plateforme anti-logiciels malveillants Windows Defender. En effet, Microsoft va baisser la fréquence à une publication mensuelle. Les mises à jour de plateforme ne sont pas à confondre avec les mises à jour de définition qui permettent d’obtenir la liste des menaces. Les mises à jour de plateforme concernent le client de l’antivirus Windows Defender en lui-même. Ces mises à jour seront publiées via la catégorie Definition Updates et le produit Windows Defender. Elles sont identifiables sous le nom : Update for Windows Defender antimalware platform – KBXXXXXXX (<Version>). Microsoft va peu à peu publier toutes les anciennes versions des plateformes pour permettre à vos clients d’atteindre la version finale.

Si vous utilisez déjà les règles de déploiement automatique (ADR) de System Center Configuration Manager via le modèle à disposition pour les mises à jour de définition, vos règles prennent déjà en compte ce changement.

Ce changement concerne les machines Windows 10 1607 ou plus et Windows Server 2016.

Plus d’informations sur : Monthly antimalware platform updates for Windows Defender

Gartner a publié le résultat de l’étude 2018 sur les plateformes de protection (Endpoint Protection Platforms). L’an dernier, Microsoft était placé dans les Challengers. Cette année Microsoft fait partie des visionnaires. On retrouve assez peu de Leaders avec uniquement Symantec, Sophos et Trend Micro. Le plus surprenant reste la position de Kaspersky et McAfee (anciennement Intel Security) parmi les visionnaires. Ces deux acteurs sont souvent vus comme des références mais les récents changements sur les menaces montrent que ces deux acteurs n’ont pas réussi à confirmer leur position.

Microsoft propose maintenant une suite consistante au travers de Windows Defender et des solutions Application Guard, Application Control, Device Guard, Exploit Guard, Advanced Threat Protection. Microsoft est devenu l’éditeur le plus sollicité lors des appels de demandes de renseignements clients Gartner liés à EPP, et il y a un intérêt significatif à utiliser les fonctionnalités de sécurité de Windows 10 pour réduire les dépenses de sécurité avec les autres fournisseurs.

Concernant Microsoft parmi les forces, on retrouve :

• Au cours des deux dernières années, Microsoft a apporté des améliorations constantes aux solutions de sécurité disponibles dans Window 10. Un déploiement de Windows Defender avec Defender ATP peut être considéré comme directement compétitif avec certaines des solutions EPP disponibles auprès d'autres fournisseurs mentionnés dans cette étude.
• Windows Defender fournit une protection basée sur des fichiers à l'aide de signatures et d'heuristiques, ainsi que des recherches via le Cloud pour détecter les nouveaux logiciels malveillants. La recherche via le Machine Learning fourni par le Cloud ont considérablement amélioré la précision de détection de Microsoft dans les résultats des tests. Windows Defender dans Windows 10 protégera automatiquement les clients si un moteur EPP tiers tombe en panne, est obsolète ou est désactivé.
• La solution de détection et de réponse de Microsoft, Defender ATP, exploite l'infrastructure Azure de Microsoft pour stocker six mois de données sans frais supplémentaires.
• L'équipe de recherche sur la sécurité Windows de Microsoft bénéficie d'une vaste base d’installation de plus d'un milliard de versions grand public du moteur antivirus et de ses utilitaires de vérification système en ligne, qui fournissent une boîte de Petri contenant des échantillons de logiciels malveillants et des Indicateurs d’attaques (IOAs).

Parmi les faiblesses :

• Le plus grand défi reste la dispersion des contrôles de sécurité, des serveurs de gestion, des moteurs de reporting et des tableaux de bord. Microsoft commence à centrer sa future gestion et ses futurs rapports sur la plate-forme Windows Defender Security Center, qui est l'interface de gestion de toute la suite Windows Defender, y compris ATP. Microsoft Intune remplace System Center comme principal outil de gestion.
• Pour avoir accès à des fonctionnalités de sécurité avancées, les entreprises doivent souscrire à l'abonnement E5, dont les clients déclarent qu'il est plus cher que les offres concurrentielles EPP et EDR, ce qui réduit l'attrait global de la solution.
• Microsoft s'appuie sur des fournisseurs tiers pour assurer la prévention des logiciels malveillants et d'autres fonctionnalités sur des plates-formes non Windows, ce qui peut conduire à des capacités de visibilité et de correction disparates et à des complexités opérationnelles supplémentaires.
• Les fonctionnalités de sécurité avancées ne sont disponibles que lorsque les entreprises migrent vers Windows 10.

Vous pouvez accéder au rapport sur : Magic Quadrant for Endpoint Protection Platforms

Microsoft vient de publier la Community Technology Preview (CTP) d’un nouveau pack d’administration ou Management Pack (MP) pour Microsoft Azure SQL Database – Managed Instance. Pour rappel, System Center Operations Manager (SCOM) fait partie de la gamme System Center, il propose une supervision souple et évolutive de l’exploitation au niveau de toute l’entreprise, réduisant la complexité liée à l’administration d’un environnement informatique, et diminuant ainsi le coût d’exploitation. Ce logiciel permet une gestion complète des événements, des contrôles proactifs et des alertes, et assure une gestion des services de bout en bout. Il établit des analyses de tendance et des rapports, et contient une base de connaissances sur les applications et le système.

Ce management pack fournit les fonctionnalités suivantes :

• Assistant convivial pour découvrir les Managed Instances.
• Prise en charge de multiples Managed Instances
• Surveillance de la santé et de la performance des Managed Instances
  • Supervision et performances des Managed Instances
  • Supervision et performances des bases de données

Notez que ce pack d’administration nécessite System Center 2012 R2 Operations Manager ou System Center 2016 Operations Manager

Télécharger Microsoft System Center Management Pack (Community Technology Preview) for Microsoft Azure SQL Database – Managed Instance

Voici le récapitulatif des annonces faites par Microsoft concernant sa plateforme Microsoft Azure.

Parmi les annonces, on retrouve notamment :

General

• Mise à jour des conditions du support standard Azure. Microsoft baisse le coût fixe à 100 USD par mois afin de rendre les prédictions de coût complètement prédictibles. En outre, Microsoft offre un temps de réponse initial d’une une heure pour les études critiques.
• Microsoft propose un ebook gratuit sur les objets Kubernetes dans Microsoft Azure.
• Disponibilité Générale des connecteurs ITSM ServiceNow, Provance, Cherwell, et System Center Service Manager pour Microsoft Azure. Ces connecteurs permettent une intégration entre les outils de supervision Azure et vos outils ITSM en créant des événements, alertes, incidents ou en récupérant des incidents ou des demandes de changement dans Azure Log Analytics.
• Publication du module PowerShell Azure Ressource Manager 5.2.0.
• Disponibilité Générale de l’API Budgets et ajout du support des budgets au niveau du groupe de ressources et au niveau des ressources en plus du niveau de l’abonnement. En outre, l’ajout du support des groupes d’actions Azure permet d’orchestrer les services en fonction des seuils de coûts.
• Amélioration de l’APIs Marketplace Charges pour permettre de migrer d’un modèle d’autorisation basé sur des clés vers le modèle d’authentification ARM et le support des abonnements direct Web (avec quelques limtations.)
• Azure Cloud Shell intègre Ansible permettant d’automatiser les applications et les infrastructures IT. Pour rappel, l'Azure Cloud Shell est un outil de ligne de commande en mode navigateur qui permet d'exécuter des commandes directement dans le portail.
• OpenSSH est maintenant disponible dans PowerShell dans CloudShell.

Azure MarketPlace

• Mise à jour de l’offre Jenkins :
  • Ajout du support des Virtual Networks afin de permettre le provisionnement de Jenkins dans vos propres sous réseau ou réseaux virtuels.
  • Vous pouvez activer Managed Service Identity (MSI) ou fournir un Azure Service Principal. Les identifiants sont ajoutés dans le coffre d’identifiants Jenkins.
  • En activant l’agent de la machine virtuelle ou l’Azure Container Instances (ACI), vous pouvez démarrer vos projets tout de suite avec les paramètres par défaut.
  • Le plugin Azure Active Directory fait son apparition pour permettre le support de l’authentification et de l’autorisation via Azure Active Directory.

Azure Storage

• Public Preview du stockage redondant par zone (Azure Zone Redundant Storage). Ceci permet de stocker trois réplicas de données dans différentes zones de disponibilité en ayant une insertion et mise à jour des données faite de manière synchrone. Cette fonctionnalité est en Preview sur US East 2, US Central et France Central.
• Disponibilité Générale des Virtual Network Service Endpoints et Firewalls pour Azure Storage. Pour rappel, les Virtual Network Service Endpoints permettent d’étendre vos espaces d’adresses privées et l’identité de vos Virtual Networks. Ceci permet dans le cadrage d’Azure Storage de créer des règles réseau pour autoriser le trafic uniquement depuis des sous réseaux ou des Virtual Networks spécifiques.
• Disponibilité Générale des SDK Azure Storage pour Python, Ruby, et PHP. Les SDKs ont été coupés en 4 packages pour les Blob, Table, Queue et File.

Azure Network

• Disponibilité Générale d’Azure Network Watcher dans Microsoft Azure Germany. Pour rappel, ce service offre des capacités de supervision des performances réseau et un service de diagnostic. Il permet en outre de visualiser la topologie de vos déploiements, de vérifier si un flux est autorisé ou refusé depuis ou vers votre machine virtuelle, et de vérifier le routage en cas de mauvaise configuration réseau. Vous pouvez aussi vérifier les groupes de sécurité et capture le trafic réseau d’une machine virtuelle. Enfin, on retrouve l’état de consommation vis-à-vis de vos limites d’abonnement ainsi que des journaux de diagnostic ou les flux des Network Security Group.
• Disponibilité Générale de Network Watcher Connection Troubleshoot. Celui-ci permet de dépanner les performances réseau et les problèmes de connectivité dans Azure. Il permet entre autres de visualiser le chemin saut par saut de la source à la destination, en identifiant les problèmes qui peuvent potentiellement avoir un impact sur les performances et la connectivité de votre réseau.
• Des annonces autour d’Azure ExpressRoute :
  • Partenariat entre Cisco et Microsoft pour construire une stratégie réseau fournissant du support autour d’Azure ExpressRoute.
  • Disponibilité Générale de Network Performance Monitor pour ExpressRoute dans 6 Régions à partir de mi-février.
  • Microsoft facilite le peering ExpressRoute en le fournissant sous la forme de service PaaS.

Azure Security Center

• Public Preview de la capacité SIEM Export permettant d’exporter les alertes Azure Security Center dans des solutions SIEM comme Splunk ou IBM QRadar. Vous devez pour cela utiliser les solutions Azure Monitoring et Azure Event Hub.

IaaS

• Intégration de l’expérience de sauvegarde via Azure Backup au moment de la création de la machine virtuelle dans le portail.
• Public Preview des Scale Sets de machines virtuelles redondants par zone. Les machines virtuelles sont automatiquement réparties sur les zones de disponibilité. Les Scale Sets de machines virtuelles redondants par zone prennent en charge les mêmes capacités que les Scale Sets de machines virtuelles redondants par zone régionales.
• Microsoft apporte des machines virtuelles supportant SAP HANA sur la région UK avec les machines virtuelles de séries M, B, Dv3, Ev3.

Azure Stack

• Microsoft a réalisé une évaluation de conformité de Microsoft Azure Stack et les résultats des rapports permettent de satisfaire les contrôles techniques de PCI-DSS and the CSA Cloud Control Matrix. Ces tests ont été effectué par Coalfire.

Enterprise Mobility + Security

Azure Active Directory

• Amélioration de l’expérience de connexion pour les applications connectées et fédérées à Azure Active Directory. Les utilisateurs peuvent maintenant se connecter dans les applications avec du SSO en naviguant directement à la page d'ouverture de session de l'application. Pour cela, il vous suffit d'installer la dernière version de l'extension de navigateur My Apps pour votre navigateur : Edge, Chrome, Firefox. Les utilisateurs qui utilisent déjà une ancienne version de l'extension recevront la mise à jour automatiquement. Vous pouvez aussi lancer l’application directement depuis les extensions du navigateur.
• Microsoft propose un plugin permettant le SSO avec un compte Azure Active Directory pour l’application JIRA.
• Public Preview d’une amélioration de l’expérience de gestion d’Azure AD Application Proxy pour permettre le support des wildcards afin de publier plusieurs applications en une seule fois. Les caractères génériques vous permettent également d'appliquer les mêmes paramètres tels que la méthode d'authentification et l'affectation des utilisateurs pour chacune de ces applications. Vous pouvez aussi spécifier des prérequis spécifiques à chaque application si nécessaire. La règle plus précise de l’URL prend le dessus sur la règle plus générique (Wildcard)

Azure Information Protection

• Mise à jour mensuelle du service qui expose maintenant l’ensemble des droits disponibles comme cela pouvait être le cas dans PowerShell et l’ancien portail.
• Preview d’un nouveau rôle Azure Active Directory : Information Protection Administrator. Ceci permet de limiter la gestion à Azure Information Protection, aux labels et aux stratégies en utilisant le portail Azure et PowerShell.
• Nouvelle Preview (1.1.203.0) du client Azure Information Protection apportant :
  • Le module PowerShell inclus avec le client, intègre maintenant des cmdlets PowerShell permettant d’installer et configurer le scanneur Azure Information Protection.
  • La classification automatique sur les applications Office s’exécute continuellement en fond de tâches au lieu de s’exécuter lorsque le document est sauvegardé. Ceci permet notamment d’appliquer des classifications sur des documents qui sont stockés dans SharePoint Online.
  • Vous pouvez maintenant configurer des marqueurs visuels différents pour Word, Excel, PowerPoint, et Outlook en utilisant une variable « If.app ».
  • Support du paramétrage de stratégie Display the information Protection bar in Office apps permettant lorsqu’il est désactivé de sélectionner le label depuis le bouton Protect.
  • Un nouveau paramétrage client avancé permet à Outlook de ne pas appliquer le label par défaut configuré dans la stratégie AIP. En lie uet place, Outlook peut appliquer un label par défaut différent ou aucun label.
  • Quand vous spécifiez des permissions personnalisées dans les applications Office, vous pouvez maintenant naviguer et sélectionner des utilisateurs depuis l’annuaire d’adresses.
  • Support d’une authentification complètement non interactive pour les comptes de service qui utilisent PowerShell et n’ont pas les droits Log on Locally. Cette méthode vous demander de configurer le paramètre Token avec la commande Set-AIPAuthentication.
  • Un nouveau paramètre IntegratedAuth pour Set-RMSServerAuthentification permettant notamment de supporter le mode AD RMS.
  • Plusieurs correctifs importants.

Operations Management Suite

Azure Site Recovery

• Disponibilité Générale de la supervision pour Azure Site Recovery. Microsoft a mis à jour le portail avec un tableau de bord comprenant des diagrammes, l’état de l’infrastructure (réplication), le nombre de jobs en erreur, etc.
• Microsoft supporte les modèles Open Virtualization Format (OVF) pour le serveur de configuration depuis VMware vers Azure. Ceci permet d’assurer que les logiciels nécessaires sont installés (excepté MySQL Server et VMware PowerCLI). Ceci permet de commencer la réplication des machines virtuelles en moins de 30 minutes ! En outre un nouveau portail web a été ajouté au serveur de configuration et les outils VMware sont maintenant utilisés pour installer et mettre à jour les Mobility Services permettant de protéger les machines virtuelles VMware.

Azure SQL

• Il est maintenant possible de construire des notifications Email pour les recommandations de personnalisation automatique d’Azure SQL Database.

Cosmos DB

• Nouveautés sur la disponibilité Générale de l’API Graph pour Azure Cosmos DB avec l’amélioration des performances et de la stabilité du service, le support des plateformes Python et PHP. Une Private Preview est en cours pur offrir une librairie d’import en masse.
• Visual Studio a une intégration native pour utiliser la fonctionnalité Azure Cosmos DB Change Feed avec Azure Functions. Il est maintenant beaucoup plus facile de développer et dépanner localement Azure Functions qui consomme Cosmos DB Change Feed.

Azure Cognitive Services

• Nouvelle capacité de détection des marques par Microsoft Video Indexer. La détection de marque peut se faire depuis la voix ou du texte visuel.
• Preview des SDKs (C#, Java, Node.js, et Python) pour les services cognitifs des APIs Bing Search. Le SDK inclut les éléments : Bing Web Search, Bing Image Search, Bing Custom Search, Bing News Search, Bing Video Search, Bing Entity Search, et Bing Spell Check.

Certifications

• Microsoft a obtenu l’accréditation complète par le gouvernement indien et le Ministry of Electronics and Information Technology (MeitY). Ceci permet aux organisations du secteur public d’utiliser les services Azure.

Azure Government

• Disponibilité Générale d’Azure Network Watcher dans Microsoft Azure Government.

Autres services

• Disponibilité Générale des outils de développement Time Series Insights (TSI) explorer. Outre cette annonce, Microsoft a inclus des capacités d’accessibilité mais aussi le moyen d’exporter des données d’événement agrégées vers d’autres outils d’analyse tels qu’Excel.

• Disponibilité Générale d’Azure Event Grid. Pour rappel, Azure Event Grid est un service de routage d'événements entièrement géré et évolutif qui simplifie le développement d'applications basées sur des événements et sans serveur. Les applications peuvent s’abonner aux événements nécessaires. Les événements sont ensuite délivrés par la sémantique push afin de simplifier le code.
• Les performances d’Azure Search se voient améliorées pour tous les nouveaux services fournis dans tous les niveaux de services payants. La puissance de calcule est presque doublée par rapport à la configuration matérielle précédente. Les niveaux de service standard commencent à utiliser du stockage SSD. Microsoft a donc retiré les niveaux du nombre de documents des niveaux Basic et Standard. Le volet de base permet maintenant une augmentation du nombre d’indexes de 5 à 15. Azure Search peut également prendre en charge jusqu' à 15 sources de données et indexeurs par service. Pour le niveau de tarification Standard 3 High Density, Microsoft a pu supprimer la limite de 200 millions de documents par partition, n'imposant que des limites par index. Ces changements sont possibles sur les régions Brazil South, Canada Central, Central India, East US, North Central US, North Europe, South Central US, Southeast Asia, UK South, West Europe, and West US.

• Support de l’exécution de SPARK sur les clusters ayant des GPUs en utilisant l’Azure Distributed Data Engineering Toolkit (AZTK). Microsoft a créé des images Docker pour AZTK.
• Microsoft propose une extension Ansible pour Visual Studio Code.

• L’API Bing Speech étend son support du texte à la voix à 6 langues supplémentaires : Bulgare, Croate, Malaisien, Slovène, tamoul, et Vietnamien.

Microsoft vient de publier une mise à jour des outils Surface à destination des ITs pour déployer, gérer et sécuriser les périphériques Surface dans l’entreprise. On retrouve notamment :

• Cisco EAP Supplicant Installer
• Surface Data Eraser v3.2.46.0 pour effacer de manière sécurisée les données des Surface.
• Surface Deployment Accelerator v2.0.8.0 permet de facilement déployer une image Windows sur des Surface.
• Surface Diagnostic Toolkit v1.1.50.0 fournit des outils pour tester le matériel.
• Surface Dock Updater v2.12.136.0 permet de mettre à jour le Dock.
• Surface UEFI Configurator v2.9.136.0.
• Surface WOL

Télécharger Surface Tools for IT

Microsoft vient de publier une nouvelle Preview (1.1.203.0) du client pour son service Microsoft Azure Information Protection. Parmi les changements, on retrouve :

• Le module PowerShell inclus avec le client, intègre maintenant des cmdlets PowerShell permettant d’installer et configurer le scanneur Azure Information Protection.
• La classification automatique sur les applications Office s’exécute continuellement en fond de tâches au lieu de s’exécuter lorsque le document est sauvegardé. Ceci permet notamment d’appliquer des classifications sur des documents qui sont stockés dans SharePoint Online.
• Vous pouvez maintenant configurer des marqueurs visuels différents pour Word, Excel, PowerPoint, et Outlook en utilisant une variable « If.app ».
• Support du paramétrage de stratégie Display the information Protection bar in Office apps permettant lorsqu’il est désactivé de sélectionner le label depuis le bouton Protect.
• Un nouveau paramétrage client avancé permet à Outlook de ne pas appliquer le label par défaut configuré dans la stratégie AIP. En lie uet place, Outlook peut appliquer un label par défaut différent ou aucun label.
• Quand vous spécifiez des permissions personnalisées dans les applications Office, vous pouvez maintenant naviguer et sélectionner des utilisateurs depuis l’annuaire d’adresses.
• Support d’une authentification complètement non interactive pour les comptes de service qui utilisent PowerShell et n’ont pas les droits Log on Locally. Cette méthode vous demander de configurer le paramètre Token avec la commande Set-AIPAuthentication.
• Un nouveau paramètre IntegratedAuth pour Set-RMSServerAuthentification permettant notamment de supporter le mode AD RMS.
• Plusieurs correctifs importants.

Télécharger Azure Information Protection Client Preview

Microsoft vient de mettre à jour (7.0.2.0) le pack d’administration ou Management Pack (MP) SCOM pour superviser SQL Server 2016. Il fonctionne avec SCOM 2012 SP1 ou plus. Cette nouvelle version apporte les éléments suivants :

• Correction d’un problème : Les scripts Data Source Always ON échoue puisque Microsoft.SqlServer.Management.PSSnapins.dll n’est pas importé
• Correction d’un problème : Les scripts de supervision Always ON peuvent échouer à cause d’une erreur : "No coercion operator is defined..." (engendré par un problème dans PowerShell 5.0).
• Correction d’un problème sur les tableaux de bord : La règle "DW data early aggregation" crash sur SCOM 2016.

Télécharger

• Microsoft System Center Management Pack for SQL Server 2016
• Microsoft System Center Management Pack for SQL Server Dashboards

Microsoft vient de mettre à jour (7.0.2.0) le pack d’administration ou Management Pack (MP) SCOM pour superviser SQL Server 2014. Il fonctionne avec SCOM 2012 SP1 ou plus. Cette nouvelle version apporte les éléments suivants :

• Correction d’un problème : Les scripts Data Source Always ON échoue puisque Microsoft.SqlServer.Management.PSSnapins.dll n’est pas importé
• Correction d’un problème : Les scripts de supervision Always ON peuvent échouer à cause d’une erreur : "No coercion operator is defined..." (engendré par un problème dans PowerShell 5.0).
• Correction d’un problème sur les tableaux de bord : La règle "DW data early aggregation" crash sur SCOM 2016.

Télécharger

• Microsoft System Center Management Pack for SQL Server 2014
• Microsoft System Center Management Pack for SQL Server Dashboards

En passant chez plusieurs clients, je me suis rendu compte que l’installation des langues supplémentaires pouvait parfois être incomplète. Le but de cet article est de traiter une méthode parmi de nombreuses possibles, permettant de déployer correctement des langues supplémentaires sur Windows 10 durant le déploiement de système d’exploitation (OSD) via System Center Configuration Manager.

Ceux qui connaissent un peu les méthodes récurrentes sur Internet, savent que System Center Configuration Manager ne comprend pas de tâche par défaut permettant le chargement en ligne ou hors ligne de packs de langue. Il faut souvent étendre le produit avec Microsoft Deployment Toolkit (MDT). Ceux qui me connaissent, savent que je suis relativement réticent à l’intégration de MDT à ConfigMgr et ce pour éviter toutes dépendances. Le but est de ne pas trainer une version qui viendrait freiner le rythme des mises à jour de Configuration Manager.

Bien souvent, les administrateurs chargent le pack de langues mais oublie toutes les fonctionnalités de langues supplémentaires qui peuvent être essentielles à l’expérience utilisateur (Cortana, reconnaissance du texte, etc.) de Windows 10. On retrouve notamment les éléments suivants :

• Microsoft-Windows-Client-Language-Pack_<Architecture>_-<Langue>.cab est typé par langue et architecture et correspond au texte de l’interface graphique.
• Microsoft-Windows-LanguageFeatures-Basic-<Langue>-Package.cab est typé par langue uniquement pour permettre la vérification de l'orthographe, la prédiction du texte, etc.
• Microsoft-Windows-LanguageFeatures-Handwriting-<Langue>-Package.cab est typé par langue pour permettre la reconnaissance de l'écriture manuscrite saisie par stylet.
• Microsoft-Windows-LanguageFeatures-Speech-<Langue>-Package.cab est typé par langue pour reconnaître les entrées vocales utilisées par Cortana et Windows Speech Recognition.
• Microsoft-Windows-LanguageFeatures-TextToSpeech-<Langue>-Package.cab est typé par langue pour permettre la synthèse de voix notamment utilisée par Cortana et le narrateur.
• Microsoft-Windows-LanguageFeatures-OCR-<Langue>-Package.cab est typé par langue pour permettre la reconnaissance et l’édition de texte dans une image.

Pour récupérer ces packages, on retrouve deux ISOs de fonctionnalités à la demande pour Windows 10 (Features on Demand) :

• Le pack de langue (premier dans la liste) est présent dans l’ISO Windows 10 Features on Demand Part 1.
• Les autres packages sont présents dans l’ISO Windows 10 Features on Demand Part 2.

Il est à noter qu’il est nécessaire de récupérer les nouvelles versions de ces packages pour chaque nouvelle version de Windows 10 (1709, 1803, etc.).

Passons à l’intégration à votre séquence de tâches, commencez par créer un dossier dans les sources de contenu que vous pouvez par exemple appeler : OSD Language Pack Windows 10 1709 fr-fr. Copiez l’ensemble des fichiers CAB à l’intérieur :

Procédez ensuite à la création d’un package sans programme dans System Center Configuration Manager pointant sur ces sources avec un nom similaire (par exemple : OSD Language Pack Windows 10 1709 fr-fr).

Une fois le package créé et distribué sur vos points de distribution, ouvrez votre séquence de tâches. Les packages doivent être chargés avant le démarrage du système d’exploitation. Je vous recommande de créer un groupe appelé Install Language Packs entre l’application de vos Drivers et le groupe Setup Operating System qui doit normalement enchainer sur l’étape Setup Windows and Configuration Manager.
Dans ce groupe, vous pouvez ajouter des étapes Run Command Line avec les lignes de commandes suivantes :

DISM /Image:C:\ /add-Package /PackagePath:Microsoft-Windows-Client-Language-Pack_<Architecture>_-<Langue>.cab
DISM /Image:C:\ /add-Package /PackagePath:Microsoft-Windows-LanguageFeatures-Basic-<Langue>-Package.cab
DISM /Image:C:\ /add-Package /PackagePath:Microsoft-Windows-LanguageFeatures-Handwriting-<Langue>-Package.cab
DISM /Image:C:\ /add-Package /PackagePath:Microsoft-Windows-LanguageFeatures-Speech-<Langue>-Package.cab
DISM /Image:C:\ /add-Package /PackagePath:Microsoft-Windows-LanguageFeatures-TextToSpeech-<Langue>-Package.cab
DISM /Image:C:\ /add-Package /PackagePath:Microsoft-Windows-LanguageFeatures-OCR-<Langue>-Package.cab

Associez le package que vous avez précédemment créé et spécifiez un timeout.

Note : Vous pouvez remplacer C:\ par la variable (par exemple : %OSDisk%) que vous avez éventuellement spécifiée dans la tâche Apply Operating System pour stocker la partition sur laquelle le système d’exploitation a été appliqué. En outre, vous pouvez utiliser les cmdlets PowerShell à condition d’avoir ajouté les composants associés à votre image Windows PE. En effet, par défaut les images de démarrage n’incluent pas les composants : WinPE-DismCmdlets.

Sur l’écran qui suit, j’ai volontairement décorrélé chaque ligne de commande mais je vous recommande l’utilisation d’un script bat ou PowerShell qui inclut l’ensemble des commandes afin d’optimiser votre environnement de séquences de tâches. Plus vous ajoutez des tâches, plus ce dernier grossit en mémoire.

Ensuite dans les sources du package que vous avez créez, procédez à la création du script bat (par exemple SwitchTextSpeechFR.bat) suivant permettant l’édition des clés de registre nécessaire à l’activation des fonctionnalités Speech. Là encore, vous pouvez utiliser PowerShell si vous le souhaitez. Remplacez la langue par la langue que vous chargez.

Reg Load HKU\DefaultTemp "C:\Users\DefaultNTUSER.DAT"
Reg Add "HKU\DefaultTemp\Software\Microsoft\Speech_OneCore\Settings\SpeechRecognizer" /v RecognizedLanguage /t REG_SZ /d fr-FR /F
Reg UNLoad HKU\DefaultTemp

Note : Vous pouvez ajouter un côté dynamique à ce script en renseignant un paramètre pour définir dynamiquement la langue. C’est très utile pour éviter plusieurs scripts qui effectuent la même chose lorsque vous devez gérer plusieurs langues comme nous le verrons par la suite dans l’article.

Ajoutez ensuite une étape Run Command Line juste après le ou les étapes de chargement des packages. Cette étape doit exécuter le script bat et associant le package qui le contient.

Une fois ceci fait, vous devez aussi spécifier la langue qui sera utilisée par défaut par le système d’exploitation. Deux solutions sont possibles :

• L’utilisateur le définit lui-même lorsqu’il a ouvert la session. Ceci n’est clairement pas adapté dans un contexte d’entreprise.
• La langue est définie directement dans le déploiement de système d’exploitation au moment du chargement.

La seconde solution est possible en chargeant un fichier de personnalisation Unattend.xml dans la tâche Apply Operating System. Vous pouvez spécifier la langue en dur ou alors utiliser des variables de séquences de tâches. C’est la solution que je recommande pour plus de flexibilité. Vous devez créer un fichier Unattend.xml comprenant les éléments suivants :

<?xml version="1.0" encoding="utf-8"?>

<unattend xmlns="urn:schemas-microsoft-com:unattend">

    <settings pass="specialize">

        <component name="Microsoft-Windows-International-Core" processorArchitecture="amd64" publicKeyToken="31bf3856ad364e35" language="neutral" versionScope="nonSxS" xmlns:wcm="http://schemas.microsoft.com/WMIConfig/2002/State" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">

            <InputLocale>%OSDInputLocale%</InputLocale>

             <SystemLocale>%OSDSystemLocale%</SystemLocale>

             <UILanguage>%OSDUILanguage%</UILanguage>

             <UILanguageFallback>%OSDUILanguageFallback%</UILanguageFallback>

             <UserLocale>%OSDUserLocale%</UserLocale>

        </component>

    </settings>

    <settings pass="oobeSystem">

        <component name="Microsoft-Windows-International-Core" processorArchitecture="amd64" publicKeyToken="31bf3856ad364e35" language="neutral" versionScope="nonSxS" xmlns:wcm="http://schemas.microsoft.com/WMIConfig/2002/State" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">

            <InputLocale>%OSDInputLocale%</InputLocale>

             <SystemLocale>%OSDSystemLocale%</SystemLocale>

             <UILanguage>%OSDUILanguage%</UILanguage>

             <UILanguageFallback>%OSDUILanguageFallback%</UILanguageFallback>

             <UserLocale>%OSDUserLocale%</UserLocale>

        </component>

    </settings>

</unattend>

Les variables suivantes sont définies :

• OSDInputLocale pour choisir la langue d'entrée et la méthode pour les périphériques d'entrée, tel le clavier.
• OSDSystemLocale spécifie la langue par défaut à utiliser pour les programmes non Unicode.
• OSDUILanguage attribue la langue de l’interface graphique.
• OSDUILanguageFallback spécifie la langue de l’interface graphique utilisée si celle spécifiée par défaut n’est pas présente. En général, on laisse la langue de l’image WIM que l’on applique par défaut (par exemple en-US).
• OSDUserLocale spécifie les paramètres par utilisateur utilisés pour formater les dates, heures, devises et nombres dans une installation Windows.

Note : Si vous ne souhaitez pas utiliser les variables, vous pouvez simplement les remplacer par le code de la langue (par exemple : fr-FR).

Vous pouvez sauvegarder le fichier dans le package que nous avons créé en tout début de ce billet.

Ouvrez ensuite la séquence de tâches et l’étape Apply Operating System. Cochez la case Use an unattended or Sysprep answer file for a custom installation. Spécifiez le package et le nom du fichier Unattend.xml :

Si vous devez gérer plusieurs langues et pour continuer dans la stratégie de cet article, vous pouvez créer des sous-groupes pour chaque langue dans le groupe Install Language Packs. Dans les options du groupe, vous pouvez ajouter une condition basée sur la variable de séquence de tâches %OSDUILanguage% et sa valeur (par exemple qui doit être égale à fr-FR).

Vous pouvez ensuite définir les variables citées plus haut de plusieurs façons :

• Manuellement sur chaque enregistrement machine en ouvrant les propriétés ou alors via l’assistant d’import d’un nouvel enregistrement machine pour de nouvelles machines.
• Sur les collections de déploiement en créant une collection de déploiement par langue. Vous pouvez les définir en ouvrant les propriétés de la collection.
• Dynamiquement par des solutions communautaires avec des assistants tels qu’

Bon déploiement !

Microsoft vient de mettre à jour (7.0.2.0) le pack d’administration ou Management Pack (MP) SCOM pour superviser SQL Server 2008, 2008 R2 et 2012. Il fonctionne avec SCOM 2012 SP1 ou plus. Cette nouvelle version apporte les éléments suivants :

• Correction d’un problème : Les scripts Data Source Always ON échoue puisque Microsoft.SqlServer.Management.PSSnapins.dll n’est pas importé
• Correction d’un problème : Les scripts de supervision Always ON peuvent échouer à cause d’une erreur : "No coercion operator is defined..." (engendré par un problème dans PowerShell 5.0).
• Correction d’un problème sur les tableaux de bord : La règle "DW data early aggregation" crash sur SCOM 2016.

Télécharger

• Microsoft System Center Management Pack for SQL Server
• Microsoft System Center Management Pack for SQL Server Dashboards

Le beta-testing de la certification sur la configuration et l’exploitation d’un cloud hybride avec Microsoft Azure Stack a débuté. L’examen Exam 70-537: Configuring and Operating a Hybrid Cloud with Microsoft Azure Stack est concerné. Pour rappel, les examens bêta ne sont plus gratuits pour éviter que les personnes s’inscrivent sans passer l’examen. Il faut participer à hauteur de 20%.

Vous pouvez alors utiliser gratuitement le code suivant : KDRBNP537DD.
Il doit être utilisé avant le 15 Mars 2018.

Attention, il n’y a que 300 places disponibles.

Source : https://borntolearn.mslearn.net/b/weblog/posts/take-beta-exam-70-537-configuring-and-operating-a-hybrid-cloud-with-microsoft-azure-stack-2

Chris Hallum (Windows Security Senior Product Manager – MSFT) va proposer un webcast et un événement de questions/réponses. Il aura lieu le mardi 6 février de 19h à 20h (heure française).

Le Webcast présentera notamment les améliorations de Windows 10 1709 avec un focus sur :

• Windows Defender Advanced Threat Protection,
• Windows Defender Device Guard,
• Windows Defender Application Guard,
• Windows Defender Exploit Guard,
• Windows Defender Application Control

Mais aussi la stack entière avec Office 365, Microsoft Azure et Windows Server.

S’inscrire au Webcast 

Un des nouveaux scénarios importants proposés par Windows 10 1709 (Fall Creators Update) est la capacité d’Auto Redéploiement d’une machine (Windows Automatic Redeployment). Les services informatiques peuvent utiliser cette fonctionnalité pour supprimer rapidement les fichiers personnels, les applications et les paramètres et réinitialiser les périphériques Windows 10 à tout moment. Elle permet surtout d’appliquer les paramètres d'origine et conserver l'enregistrement à Azure Active Directory et Microsoft Intune afin que les périphériques soient prêts à l'emploi. Cette opération peut se faire depuis l'écran de verrouillage ou à distance via Microsoft Intune. Elle peut aussi être exécuté avec un package de provisionnement (Windows Configuration Designer ou l’application Setup School PC).

Redéploiement automatique à distance avec Microsoft Intune

Pour initier un redéploiement automatique à distance via Microsoft Intune, connectez-vous au portail. Naviguez dans Devices – All devices et identifiez la machine que vous souhaitez réinitialiser. Cliquez dessus et sélectionnez Factory reset. Cochez la case Retrain enrollment state and user account et cliquez sur OK.

L’opération de réinitialisation démarre rapidement après la récupération des stratégies.

Redéploiement automatique par l'utilisateur

Le redéploiement automatique peut se faire manuellement depuis la machine à condition que la fonction soit activée et que l’utilisateur ait les droits d’administration.

Pour activer la fonction, connectez-vous au portail Microsoft Intune et naviguez dans Device configuration – Profiles.
Procédez à la création d’une stratégie en cliquant sur Create profile. Entrez le nom de la stratégie et choisissez :

• Platform : Windows 10 and later
• Profile type : Device Restriction.

Entrez dans la section General et identifiez le paramétrage Automatic Redeployment. Passez la valeur à Allow.

Cliquez deux fois sur OK puis Create.
Une fois la stratégie créée, assignez là un groupe avec vos périphériques Windows 10.

Note : Ce groupe doit être créé par vos soins. Je vous invite à lire mon article sur le sujet.

Sur le poste de travail, l’utilisateur doit verrouiller la session (CTRL + L) puis maintenir CTRL + WINDOWS + R. La personne doit renseigner un compte qui fait partie des administrateurs de la machine.

Le redéploiement démarre ensuite.

Une fois terminé, un message apparaît sur l’écran de verrouillage pour signifier le succès de l’opération.

Microsoft vient d’annoncer la mise à disposition d’un nouvel ensemble de fonctionnalités pour Microsoft Intune. Comme vous pouvez le constater, les nouveautés sont limitées du fait des vacances de Noël mais ceci n’est peut-être que le calme avant la tempête. Par le passé, les mois qui ont suivi ont été très riches en annonces.

Les fonctionnalités suivantes sont ajoutées :

Gestion des périphériques

• [Android] L’application du portail d’entreprise d’Android étend les actions de résolutions de la partie Update device settings avec les problèmes relatifs au chiffrement du périphérique.
• [Windows 10] L’utilisateur final peut maintenant verrouiller à distance des périphériques depuis l’application du portail d’entreprise pour Windows 10. L’option n’est bien entendu pas disponible pour le périphérique sur lequel il est connecté.
• [Windows 10] L’utilisateur peut maintenant visualiser les raisons de non-conformité dans l’application du portail d’entreprise. Lorsque cela est possible, l’action l’emmènera directement dans l’emplacement adéquat de l’application Paramètres de Windows 10 pour corriger le problème.

GraphAPI

• [General] Disponibilité Générale de l'API Intune dans Microsoft Graph. Cette dernière était en préversion depuis le passage de Microsoft Intune dans le portail Azure. Graph API permet notamment d'automatiser les éléments relatifs à Microsoft Intune.

Plus d’informations sur : https://docs.microsoft.com/en-us/intune/whats-new

En juin dernier, Microsoft annonçait l’arrivée d’un nouveau service à destination de Windows 10 appelé Windows AutoPilot. Ce dernier a pour vocation de simplifier et moderniser le déploiement et la gestion des machines Windows 10. Le but est de rendre une machine opérationnelle dès sa sortie du carton sans avoir à effectuer une remasterisation avec l’image de l’entreprise.

Disponible dès Windows 10 1703 (Creators Update) et avec des améliorations dans les versions suivantes (Windows 10 1709, etc.), l’administrateur peut enregistrer la machine dans le service de manière à personnaliser et automatiser l’expérience Out of the Box (OOBE). La configuration se fait donc depuis le Cloud puisque la machine contacte le service Windows AutoPilot Deployment pour savoir si elle doit appliquer un profil de déploiement. Ce service s’apparente à ce que l’on peut connaître avec les périphériques iOS avec le programme Apple Device Enrollment Program (DEP).

Windows AutoPilot se limite aujourd’hui à la personnalisation de l’expérience de post installation (OOBE) et a pour principal objectif de joindre la machine à un domaine. Une fois cette opération réalisée, la machine peut être enregistrée automatiquement dans la solution d’administration afin de d’appliquer les éléments nécessaires : Conversion en édition Entreprise, Paramètres de configuration, Personnalisations, Applications (Office 365, etc.), profil WiFi, Profil VPN, etc. Toute la configuration se fait sans nécessiter un redémarrage ou une action très avancée de l’utilisateur.

Ce processus réduit donc un des éléments les plus chronophage et couteux du service Informatique : La Masterisation. Il permet de :

• S’affranchir de la gestion d’un master: Avec Windows 10 et le cycle de publication plus fréquent, il devient difficile de faire évoluer le master de l’entreprise.
• S’affranchir de la gestion des drivers : C’est souvent un des éléments les plus consommateur en temps. Les administrateurs doivent valider les drivers des nouveaux modèles ou revalider les drivers des modèles existants lorsqu’une nouvelle version de Windows 10 est publiée. L’utilisation de l’image OEM garantit que les drivers associés, ont été testés par le fabricant.
• D’intégrer de nouveaux modèles plus aisément et de faciliter les approches BYOD/CYOD: Que ce soit pour le BYOD ou des entreprises qui ont un nombre de filiales autonomes importantes, Windows AutoPilot permet plus facilement de gérer ces approches.
• Réduire le temps de mise à disposition en faisant livrer le périphérique directement à l’utilisateur sans avoir à repasser par le service Informatique.
• S’assurer que le périphérique est toujours à jour: Le fabricant OEM qui livre une machine, met à disposition la dernière version de Windows 10.

On distingue deux scénarios :

• Self Employee : Ce scénario implique l’utilisateur sur des actions très limitées : Configuration des options régionales (Clavier, etc.), connexion au réseau Wifi et authentification avec son compte utilisateur. C’est ce scénario que nous détaillerons dans ce billet.
• Plug & Forget : Ce scénario revient à brancher la machine afin qu’elle se configure sans interaction de l’utilisateur et ne plus avoir à s’en soucier. Il peut être utilisé pour des machines industrielles ou en mode Kiosk.
  Note : Ce scénario n’est toujours pas disponible à date d’écriture de l’article.

Cet article s’attache à détailler l’intégration entre Microsoft Intune et Windows AutoPilot.

Prérequis Généraux à Windows AutoPilot

De manière à utiliser Windows AutoPilot, vous devez valider les prérequis suivants :

• Un tenant Azure Active Directory.
• Des licences Azure AD Premium P1 ou P2 pour notamment permettre la jointure automatique à la solution d’administration.
• Une solution d’administration de périphériques mobiles (MDM) telle que Microsoft Intune.

Côté périphérique, vous devez valider les éléments suivants :

• Le périphérique doit être préinstallé avec Windows 10 1703 ou plus en édition Pro, Enterprise ou Education.
• Le périphérique doit disposer d’un accès à Internet (WiFi, câble Ethernet, etc.). A date d’écriture de cet article (Janvier 2018), les réseaux qui nécessitent une configuration proxy posent des problèmes. Ce scénario n’a pas été pris en compte dans l’expérience OOBE, Microsoft travaille pour adresser ce cas d’usages. Vous devez donc autoriser les URLs (Ports HTTPS et HTTP) suivantes :
  • https://go.microsoft.com
  • https://login.microsoftonline.com
  • https://login.live.com
  • https://account.live.com
  • https://signup.live.com
  • https://licensing.mp.microsoft.com
  • https://licensing.md.mp.microsoft.com
  • ctldl.windowsupdate.com
  • download.windowsupdate.com
  • Vous devez ajouter les URLs suivantes si la machine est jointe à Microsoft Intune.
• Le périphérique doit être enregistré auprès du service AutoPilot (voir les étapes suivantes de l’article)

Afin de permettre la jointure à Azure Active Directory, ouvrez le portail Azure Active Directory avec un compte Global Administrator du tenant. Puis naviguez dans Azure Active Directory – Devices – Device settings. Validez que l’option Users may join devices to Azure AD est soit sur All soit sur Selected avec un groupe d’utilisateurs qui feront l’objet de votre démarche d’hybridation.

De manière que le périphérique puisse être géré et configuré par votre solution d‘administration, vous devez activer la jointure automatique lors de la jointure à Azure Active Directory. Pour ce faire toujours dans le portail Azure Active Directory avec un compte Global Administrator du tenant, naviguez dans Azure Active Directory – Mobility (MDM and MAM). Cliquez sur Add Application et cherchez Microsoft Intune (ou votre outil MDM).

Validez que l’option MDM user scope est soit sur All soit sur Selected avec un groupe d’utilisateurs qui pourront utiliser le service AutoPilot avec la jointure automatique à Microsoft Intune.

Cliquez sur Save.

Vous pouvez aussi configurer la personnalisation de votre annuaire avec le nom de l’entreprise. Pour cela dans le portail Azure Active Directory avec un compte Global Administrator, naviguez dans Users and groups – Company branding. Cliquez sur Configure.

Note : Vous pouvez ajouter autant de langues que vous souhaitez. Windows AutoPilot respecte ces langues en fonction de la langue du système d'exploitation installé. 

Sur la page suivante, vous devez renseigner les éléments suivants :

• Banner Logo
• User name hint pour spécifier à l’utilisateur quel type d’adresse il doit renseigner.
• Sign-in page text pour ajouter des éléments supplémentaires lors de la connexion.
• Square logo image

En outre, vous pouvez aussi spécifier le nom du tenant dans Azure Active Directory – Properties Ce nom est utilisé sur les pages de connexion :

Préparation de Windows AutoPilot et de Microsoft Intune

Commencez par vous connecter au Microsoft Store for Business. Si ce n’est pas déjà fait, validez le contrat de licence afin de procéder à la création de votre espace Microsoft Store for Business.

Ouvrez ensuite le portail Microsoft Intune et naviguez dans Device enrollment – Windows enrollment – Deployment Profiles.

Procédez à la création d’un profil. Nommez le profil et choisissez le type de jointure que vous souhaitez. A date de création de cet article (Janvier 2018), seule la jointure Azure Active Directory est disponible.

Note : Microsoft a annoncé la jointure à des domaines Active Directory pour les prochaines versions de Windows 10.

Choisissez ensuite si vous souhaitez afficher les paramètres de vie privée et le contrat de licence utilisateur (EULA). Sélectionnez le type de compte utilisateur (Standard ou Administrateur) qui sera créé :

Sauvegardez et créez le profil.

Vous devez ensuite créer toutes les stratégies de déploiement de configuration ou d’applications nécessaires pour paramétrer la machine selon vos besoins.

Intégration des machines au service Windows AutoPilot

On distingue deux façons d’intégrer les machines au service Windows AutoPilot :

• Intégration faite par le fabricant (OEM, revendeur, etc.). Lorsque vous achetez le matériel, le revendeur intègre directement les identifiants des machines sur votre tenant Azure Active Directory. Ceci vous permet ensuite d’associer les profils que vous souhaitez aux machines. Ce scénario est disponible pour les fabricants suivants : Dell, HP, Lenovo, Microsoft, Panasonic, Toshiba, et Fujitsu.
• Récupération sur des machines existantes ou via un fichier fourni par le fabricant OEM. Dans ce cas de figure, c’est à l’administrateur d’effectuer l’opération d’intégration dans le service Windows AutoPilot et votre tenant Azure Active Directory.

Pour la première option, vous devez vous rapprocher auprès de votre revendeur.
Nous allons donc nous concentrer sur la seconde option. Vous pouvez récupérer les informations nécessaires sur des machines existantes dès lors qu’elles sont équipées de Windows 10 1703. En effet, la récupération d’information se fait via un script qui utilise des classes WMI qui ne sont présentes qu’à partir de cette version de Windows. Il est surement possible de passer par des solutions intermédiaires telles que Windows To Go (Windows PE ne comprend pas les classes WMI nécessaires) pour récupérer l’information sur des systèmes antérieurs (Windows 7, Windows 8, etc.)

Pour ce faire sur la machine cible ou une machine de rebonds, récupérez le script adéquat. Il vous suffit de lancer une invite PowerShell en tant qu’administrateur et d’exécuter les commandes suivantes :
Install-Script -Name Get-WindowsAutoPilotInfo

Validez les trois questions visant à changer la variable d’environnement, le provider NuGet et l’installation dans le répertoire.

Exécutez ensuite la commande suivante :

PowerShell -ExecutionPolicy Bypass -File “C:\Program Files\WindowsPowerShell\Scripts\Get-WindowsAutoPilotInfo.ps1” -ComputerName <NomDeLaMachine> -OutputFile <CheminVersLeFichier.csv>

Note : Si vous faites la récupération à distance, vous devez avoir les exceptions Firewall adéquate et WinRM doit être correctement configuré.

Un fichier CSV est généré avec :

• Le numéro de série du périphérique
• L’identifiant Produit de Windows
• Le Hash Matériel

Une fois le fichier récupéré, vous devez vous connecter sur le Microsoft Store for Business. Naviguez dans Manage – Devices. Cliquez sur Add devices et sélectionnez le fichier que vous avez généré :

Lors de l’ajout, vous pouvez ajouter les périphériques à un groupe de déploiement. Ceci permet par exemple de ranger les machines par service ou par filiale :

Le périphérique est ensuite rajouté au service :

Vous devez ensuite valider sa synchronisation avec Microsoft Intune. Connectez-vous au portail et naviguez dans Device enrollment – Windows enrollment – Devices. Cliquez sur Sync. Notez que la synchronisation a lieu automatiquement à intervalle régulier.

Une fois le ou les périphériques remontés, vous pouvez les assigner au profil que nous avons créé précédemment via le bouton Assign Profile.

Le périphérique assigné, la synchronisation entre Microsoft Intune et AutoPilot fait remonter l’information dans le portail Microsoft Store for Business :

Note : vous pouvez obtenir l’état de la machine en cliquant sur l’enregistrement.

Expérience Utilisateur

Une fois l’opération effectuée, vous devez syspréper la machine sur laquelle vous avez récupérer les informations.

Note : Sysprep ne conserve pas la jointure à Azure Active Directory et à la solution d’administration de périphériques mobiles (MDM).

Lorsque le périphérique démarre, l’utilisateur est invité à sélectionner les options régionales et linguistiques ainsi qu’éventuellement un second clavier.

Si vous disposez d’une carte réseau Wifi et que Internet n’est pas déjà détecté, l’utilisateur est invité à se connecter à un réseau WiFi. Si vous avez déjà une connexion Internet via un cable Ethernet par exemple, l’écran n’est pas affiché :

L’utilisateur arrive ensuite sur la mire de connexion qui peut être personnalisée comme vu précédemment. Il est invité à s’authentifier avec son compte pour effectuer la jointure à Azure Active Directory :

Si votre système d'exploitation dispose d'une autre langue et que vous avez renseigné la langue adéquate dans la personnalisation de votre tenant, vous verrez la personnalisation associée apparaître sur l'écran de connexion :

Le processus effectue ensuite la jointure à Azure Active Directory et à la solution d’administration. Les différentes sont descendues dans la foulée.

Microsoft prépare un écran donnant l’état d’enregistrement avec :

• Les stratégies à appliquer
• Les applications à déployer

Note : Cet écran est en cours de préparation et devrait arriver dans les prochains mois.

Expérience côté IT

Côté IT, on peut voir apparaître le périphérique dans Azure Active Directory et Microsoft Intune :

Dans la partie Windows AutoPilot de Microsoft Intune, on peut voir l’état d’enregistrement et la date de dernier contact du service :

L’administrateur peut éventuellement faire un redéploiement de la machine à distance.

Dépannage

Michael Niehaus a posté deux très bon billets pour parler du dépannage de Windows AutoPilot:

• Troubleshooting Windows AutoPilot (level 100/200)
• Troubleshooting Windows AutoPilot (level 300/400)
• Troubleshooting Windows AutoPilot: Sample ETW Traces

Bon Déploiement !

Microsoft travaille actuellement pour améliorer sa communication et rassurer les entreprises sur les données collectées par le système de télémétrie de Windows 10. Une des nouveautés de la version Windows 10 1803 sera de proposer un outil permettant d’afficher et comprendre ces données. Il est d’ores et déjà possible d’essayer Windows Diagnostic Data Viewer avec les dernières Build Windows Insiders. Ce dernier est disponible depuis le Microsoft Store. Vous pouvez voir les informations suivantes :

• Données communes, comme le nom du système d'exploitation, la version, l'ID de périphérique, la classe de périphérique, la sélection du niveau de diagnostic, etc.
• Connectivité et configuration de l'appareil, telles que les propriétés et capacités de l'appareil, les préférences et les paramètres, les périphériques et les informations réseau de l'appareil.
• Données sur la performance des produits et des services qui montrent l'état de santé, les données sur la performance et la fiabilité de l'appareil, les fonctionnalités de consommation de films sur l'appareil et les requêtes de fichiers de l'appareil. Il est important de noter que cette fonctionnalité n'est pas conçue pour capter les habitudes de visionnement ou d'écoute des utilisateurs.
• Les données d'utilisation des produits et des services comprennent des détails sur l'utilisation de l'appareil, du système d'exploitation, des applications et des services.
• Configuration et inventaire des logiciels, tels que les applications installées et l'historique des installations, les informations de mise à jour de l'appareil.

Pour rappel, voici un article qui résume les données collectées pour le mode Complet : Windows 10 diagnostic data for the Full telemetry level

Source : https://blogs.windows.com/windowsexperience/2018/01/24/microsoft-introduces-new-privacy-tools-ahead-of-data-privacy-day/

Microsoft a créé un guide pas à pas pour vous aider à dépanner les problèmes d’enregistrement de périphériques iOS avec Microsoft Intune. Ce guide permet de comprendre d’où vient le problème en sélectionnant des descriptions de comportement afin de vous proposer des solutions :

Accéder au guide : Troubleshooting iOS device enrollment problems in Microsoft Intune

Steven Rachui (PFE Microsoft) a publié une série de vidéos sur la gestion des mises à jour logicielles avec System Center Configuration Manager Current Branch. Il aborde les différents mécanismes possibles : Windows Update for Business, Express Updates, etc.

Voir les vidéos en question :

• ConfigMgr Current Branch – Software Update Delivery
• ConfigMgr Current Branch – Windows Update for Business
• ConfigMgr Current Branch – Express Updates

Microsoft va proposer un événement de questions/réponses. Cet évènement aura lieu le mardi 30 janvier de 18h à 19h (heure française). Ask Microsoft Anything est une belle opportunité pour poser des questions sur Microsoft Edge.

Pour s’inscrire : https://techcommunity.microsoft.com/t5/Microsoft-Edge-AMA/bd-p/MicrosoftEdgeAMA

David Paulson (MSFT) propose depuis quelques années un script qui permet de faire la collection des journaux liés à Exchange Server. La dernière mise à jour de son script permet la collecte à distance. Ceci ne peut se faire que si la machine autorise la commande Invoke-Command à distance. Ce n’est pas le cas des serveurs Windows Server 2008 R2.

Télécharger Exchange Log Collector

Plus d’information sur : Exchange Log Collector Script

Microsoft a publié un script à destination de Microsoft Teams permettant de créer un Team public à l’échelle de l’entreprise. Le script utilise le module PowerShell Microsoft Teams ainsi que le module Azure AD pour récupérer la liste des utilisateurs associé au tenant.

Télécharger PowerShell script - Create org-wide team in Microsoft Teams

Microsoft fournit un correctif non officiel au Management Pack pour Microsoft Azure et corriger le comportement du moniteur vérifiant les certificats d’administration Azure. Ce Management Pack corrige le fait qu’il ne donne pas le nom du certificat ainsi que la possibilité de ne pas superviser certains certificats.

Plus d’informations sur : Replacement Azure Management Certificate Monitoring

Lorsque vous utilisez Office en version 16.0.8628.2010 ou plus avec le client Azure Information Protection sur une configuration à écrans multiples, il est nécessaire d’adapter la configuration.  Il se peut en effet que la barre du client AIP soit affichée en dehors des applications Office. Vous devez alors activer le support hérité pour les écrans dans File > Options > General > User Interface options.

Si vous voyez l’option Use best settings for my display/Utiliser les paramètres optimaux pour mon écran, désactivez l’option.

Si vous voyez l’option When using multiple display/Lors de l’utilisation de plusieurs écrans, configurez à Optimize for compatibility/Optimiser pour la compatibilité.

Microsoft travaille sur la correction du problème dans la prochaine préversion du client qui sera la prochaine version générale.

Source : https://docs.microsoft.com/en-us/information-protection/rms-client/client-admin-guide-install

Avec la mobilité, le télétravail, et les services dans le Cloud, on parle de plus en plus d’identité Cloud. Nombreuses sont les entreprises qui utilisent un fournisseur d’Identity as a Service (IDaaS). C’est le fer de lance de Microsoft qui propose Azure Active Directory, l’annuaire dans le Cloud qui constitue la base de tous les services Cloud (Office 365, Microsoft Intune, etc.). Jusqu’alors les questions autour de ce service se posaient avec Office 365 qui engendrait l’usage d’Azure Active Directory (Edition Basic) pour les entreprises qui souscrivaient au service.

Avec l’augmentation des services Cloud, Azure Active Directory constitue une pierre angulaire qui touche aujourd’hui une autre brique essentielle : Le poste de travail. Avec l’arrivé de Windows 10, il est désormais possible de joindre une machine à Azure Active Directory en lieu et place d’Active Directory. Cela signifie que la relation de confiance se fait avec l’annuaire dans le Cloud offrant du SSO pour les services associés. Dans le même temps, ce scénario permet plus facilement la mobilité, le télétravail et la souplesse de la gestion qui s’en voit modernisée.

Dans les prochains mois, les entreprises vont se mettre à hybrider l’identité de manière à permettre les scénarios croisés suivants :

• Machines jointes à Azure Active Directory d’accéder aux ressources internes : serveurs de fichiers, applications internes, etc.
• Machines jointes à Active Directory d’accéder aux ressources Cloud avec du Single Sign-On (Office 365, etc.) mais aussi à fournir des fonctionnalités supplémentaires comme l’accès conditionnel, le Co-Management, etc.

L’hybridation est un élément essentiel à planifier dans l’évolution du Service Informatique de manière à offrir une expérience utilisateur cohérente. Quelque soit la stratégie d’identité que vous percevez, je vous invite à lire un article très intéressant qui parle du Design : Azure Active Directory Hybrid Identity Design Considerations

L’objet de cet article permet d’aborder les différentes opérations pour réaliser les deux scénarios cités plus haut :

• Pour permettre à des machines jointes à Azure Active Directory d’accéder aux ressources internes, il faut réécrire les enregistrements créés dans l’annuaire interne : Device Writeback.
  Notez que les enregistrements d’un tenant Azure Active Directory ne peuvent pas être réécrits dans plus forêts.
• Pour permettre à des machines jointes à Active Directory d’accéder aux ressources Cloud avec du Single Sign-On (Office 365, etc.), il faut qu’elles s’enregistrent dans Azure Active Directory. C’est ce qu’on appelle la jointure hybride Azure AD (Hybrid Azure AD Join) ou anciennement Domain Join++ (DJ++).

On distingue un troisième scénario que l’on appelle Azure AD registered (ou anciennement Workplace Join) et qui concerne les périphériques Bring Your Own Device (BYOD) et donc non joints à Active Directory ou Azure Active Directory. Ceci peut concerner donc les périphériques iOS, Android ou Windows 10 où un compte Azure Active Directory a été ajouté à un des services Cloud utilisés localement (Office 365, Microsoft Intune). Dans le cas de Windows 10, cela correspond à l’ajout du compte Azure Active Directory comme compte du système.

Note : Ces scénarios s’appliquent quelque soit le mode d’authentification utilisé : Synchronisé, Fédéré (via Active Directory Federation Services ou d’autres services) ou via l’authentification Pass-Through.

Si vous souhaitez en apprendre plus sur les mécanismes d’authentification présents derrière l’hybridation, je vous invite à regarder l’excellente vidéo de Jairo Cadena (PM Identity – Microsoft) à l’occasion du Microsoft Ignite 2016 : Join your Windows 10 devices to Azure AD for anywhere, anytime productivity

Prérequis généraux

Cet article part du principe que vous avez installé ou configuré un certain nombre de prérequis comme :

• Un annuaire Active Directory On-Premises. Selon la configuration de votre annuaire (une ou plusieurs forêts), les opérations qui suivent peuvent diverger.
• Un tenant Azure Active Directory.
  • Scénario Device Writeback : Ceci requiert l’édition Premium (P1 ou P2) d’Azure Active Directory.
  • Scénario Azure AD Hybrid Join : Vous pouvez l’utiliser sous toutes les formes: Au travers d’Office 365, Azure Active Directory Free, Basic ou Premium (P1 ou P2).
• Azure AD Connect permettant la synchronisation d’une partie de votre annuaire dans l’annuaire dans le Cloud Azure Active Directory. Vous devez à minima synchroniser les utilisateurs. Pour plus d’informations sur son installation, rendez-vous sur : Integrate your on-premises directories with Azure Active Directory.
• Windows 10 1511 ou ultérieur. Microsoft recommande l’usage de Windows 10 1803 avec KB4489894 pour éviter les états dupliqués.

Rappel : Active Directory Federation Services (AD FS) n’est pas nécessaire puisque les scénarios sont aussi valables pour des identités avec synchronisation du mot de passe ou authentification Pass-Through.

L’article suivant ne s’applique qu’avec des contrôleurs de domaine Windows Server 2008 R2 ou plus. Pour des contrôleurs de domaine de versions antérieures, vous devez utiliser des scripts dédiés.

Afin de permettre le second scénario, assurez-vous que vous autorisez la jointure à Azure Active Directory. Pour cela, ouvrez le portail Azure Active Directory avec un compte Global Administrator du tenant. Puis naviguez dans Azure Active Directory – Devices – Device settings. Validez que l’option Users may join devices to Azure AD est soit sur All soit sur Selected avec un groupe d’utilisateurs qui feront l’objet de votre démarche d’hybridation.

Pour le premier scénario, vous devez vous assurer que l’option Users may register their devices with Azure AD est à All. L’option peut être grisée sur cette option si vous utilisez des services Cloud tels que Microsoft Intune ou Office 365. En effet, cette option constitue un prérequis.

Configuration de l’hybridation Azure AD vers Active Directory (Device Writeback)

Commencez par valider que vous disposez bien de l’abonnement à Azure AD Premium (P1 ou P2) ou Enterprise Mobility + Security (EMS) ou Microsoft 365.

La première étape consiste à préparer Active Directory en procédant à l’extension du schéma nécessaire.

Sur la machine où vous avez installé Azure AD Connect, vous devez installer la fonctionnalité Remote Server Administration Tools for AD DS. Vous pouvez le faire via PowerShell: Add-WindowsFeature RSAT-AD-Tools.

Validez ensuite que le module PowerShell Azure Active Directory est installé. Dans le cas contraire, vous pouvez le télécharger et l’installer.

Identifiez ensuite le compte utilisé pour exécuter Azure AD Connect en ouvrant la console des services sur le serveur. Cherchez le service Microsoft Azure AD Sync :

L’étape qui suit procède à l’extension de schéma, suivez votre procédure interne pour cette action. Lancez PowerShell en tant qu’enterprise admin et exécutez la commande suivante :

Import-Module 'C:\Program Files\Microsoft Azure Active Directory Connect\AdPrep\AdSyncPrep.psm1'

Initialize-ADSyncDeviceWriteback –DomainName <NOM DE DOMAINE INTERNE utilisé pour stocker les objets> -AdConnectorAccount <NOM DU COMPTE UTILISATEUR QUI EXECUTE LE SERVICE AAD CONNECT>

Une fois la commande exécutée, vous pouvez valider l’apparition d’un conteneur RegisteredDevices dans l’arborescence de votre annuaire. La commande a aussi spécifier les permissions adéquates pour le compte qui exécute le connecteur Azure Active Directory :

Via ADSIEdit, vous pouvez aussi valider la création du conteneur Device Registration Services dans la partition de configuration puis Services :

Lancez ensuite l’assistant Microsoft Azure Active Directory Connect et cliquez sur Configure.

Sur l’écran suivant, sélectionnez la tâche Customize synchronizaiton options puis entrez les identifiants d’un administrateur global du tenant.

Passez l’écran Connect Directories dans la mesure où cette opération a déjà été réalisée lorsque vous avez installé Azure AD Connect.

Sur l’écran Domain/OU Filtering, vous pouvez noter que le conteneur RegisteredDevices a été automatiquement coché pour signifier la synchronisation des objets Azure AD.

Sur l’écran Optional features, cochez la case Device writeback.

Note: Si la case est grisée, cela signifie que les permissions du compte de service qui exécute Azure AD Connect n’ont pas correctement été configurée sur les conteneurs.

Spécifiez la forêt dans laquelle réécrire les enregistrements associés au tenant. En effet comme expliqué dans l’introduction, il n’est possible de réécrire les périphériques que dans une seule forêt excepté si vous synchronisez plusieurs tenants Azure AD.

Enfin terminez l’assistant en cliquant sur Configure pour lancer la synchronisation puis Exit.

Après quelques minutes, des enregistrements de type msDS-Device apparaissent dans le conteneur Registered Devices.

Dès lors les machines jointes à Azure Active Directory peuvent accéder aux ressources internes sans avoir à renseigner leurs identifiants à nouveau. Les enregistrements sont créés sur l’annuaire On-Premises en fonction de l’intervalle de synchronisation d’Azure AD Connect.
Pour la suite, je vous invite à lire la suite de l’article ou à passer à la gestion du cycle de vie des enregistrements.

Configuration de l’hybridation Active Directory vers Azure AD (Azure AD Hybrid Join)

L’article ne traite pas de la mise en œuvre pour des périphériques équipés avec des systèmes d’exploitation inférieurs à Windows 10 (Ex : Windows 7 ou Windows 8.1). Dans ce cas, vous devez suivre des actions supplémentaires.

La première étape consiste à configurer le Service Connection Point (SCP) sur votre forêt. Ce dernier est utilisé par les machines pour découvrir les informations sur le tenant Azure Active Directory. Ces informations sont nécessaires pour l’enregistrement et sont présentes dans la partition de configuration. Vous pouvez utiliser ADSIEdit pour vérifier si le conteneur est présent dans Configuration – Services – Device Registration Configuration.

Note : La création du SCP est faite automatiquement lors de l’installation d’Azure AD Connect en mode Express avec un compte enterprise admin.

Si ce n’est pas le cas, vous devez préparer la forêt Active Directory en procédant à l’extension du schéma nécessaire.

Sur la machine où vous avez installé Azure AD Connect, vous devez installer la fonctionnalité Remote Server Administration Tools for AD DS. Vous pouvez le faire via PowerShell: Add-WindowsFeature RSAT-AD-Tools.

Validez ensuite que le module PowerShell Azure Active Directory est installé. Dans le cas contraire, vous pouvez le télécharger et l’installer.

Identifiez ensuite le compte utilisé pour exécuter Azure AD Connect en ouvrant la console des services sur le serveur. Cherchez le service Microsoft Azure AD Sync :

L’étape qui suit procède à l’extension de schéma, suivez votre procédure interne pour cette action. Lancez PowerShell en tant qu’enterprise admin et exécutez la commande suivante :

Import-Module 'C:\Program Files\Microsoft Azure Active Directory Connect\AdPrep\AdSyncPrep.psm1'

Initialize-ADSyncDomainJoinedComputerSync  -AdConnectorAccount <NOM DU COMPTE UTILISATEUR QUI EXECUTE LE SERVICE AAD CONNECT>

Spécifiez un compte administrateur global du tenant.

Note : L’opération doit être réalisée sur toutes les forêts que vous pouvez procéder.

Une fois la commande exécutée, vous pouvez valider la création du conteneur Device Registration Condiguration dans la partition de configuration via ADSIEdit ainsi que les permissions nécessaires au compte qui exécute Azure AD Connect :

Vous devez valider que les conteneurs contenant les enregistrements des machines jointes à Active Directory qui s’enregistreront à Azure Active Directory, sont synchronisés par Azure AD Connect. Ceci permet d’assurer un enregistrement optimal mais aussi la gestion du cycle de vie des enregistrements. Pour cela, vous devez lancer l’assistant Microsoft Azure Active Directory Connect.

L’étape suivante ne concerne que les environnements fédérés avec un outil tels qu’Active Directory Federation Services (AD DS). Vous devez créer les émissions de revendications ou Claims. Ceci permet aux périphériques de s’authentifier pour obtenir un token d’accès pour s’enregistrer sur le service Azure Active Directory Device Registration Service (Azure DRS).

Avec AD FS, vous devez valider que les Endpoints adfs/services/trust/13/windowstransport ou adfs/services/trust/2005/windowstransport sont activés.

Voici un script à exécuter pour procéder à la création des règles de transformation d’émission AD FS :

$multipleVerifiedDomainNames = $false
$immutableIDAlreadyIssuedforUsers = $false
$oneOfVerifiedDomainNames = 'example.com'   # Replace example.com with one of your verified domains

$rule1 = '@RuleName = "Issue account type for domain-joined computers"
c:[
    Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid",
    Value =~ "-515$",
    Issuer =~ "^(AD AUTHORITY|SELF AUTHORITY|LOCAL AUTHORITY)$"
]
=> issue(
    Type = "http://schemas.microsoft.com/ws/2012/01/accounttype",
    Value = "DJ"
);'

$rule2 = '@RuleName = "Issue object GUID for domain-joined computers"
c1:[
    Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid",
    Value =~ "-515$",
    Issuer =~ "^(AD AUTHORITY|SELF AUTHORITY|LOCAL AUTHORITY)$"
]
&&
c2:[
    Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname",
    Issuer =~ "^(AD AUTHORITY|SELF AUTHORITY|LOCAL AUTHORITY)$"
]
=> issue(
    store = "Active Directory",
    types = ("http://schemas.microsoft.com/identity/claims/onpremobjectguid"),
    query = ";objectguid;{0}",
    param = c2.Value
);'

$rule3 = '@RuleName = "Issue objectSID for domain-joined computers"
c1:[
    Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid",
    Value =~ "-515$",
    Issuer =~ "^(AD AUTHORITY|SELF AUTHORITY|LOCAL AUTHORITY)$"
]
&&
c2:[
    Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid",
    Issuer =~ "^(AD AUTHORITY|SELF AUTHORITY|LOCAL AUTHORITY)$"
]
=> issue(claim = c2);'

$rule4 = ''
if ($multipleVerifiedDomainNames -eq $true) {
$rule4 = '@RuleName = "Issue account type with the value User when it is not a computer"
NOT EXISTS(
[
    Type == "http://schemas.microsoft.com/ws/2012/01/accounttype",
    Value == "DJ"
]
)
=> add(
    Type = "http://schemas.microsoft.com/ws/2012/01/accounttype",
    Value = "User"
);

@RuleName = "Capture UPN when AccountType is User and issue the IssuerID"
c1:[
    Type == "http://schemas.xmlsoap.org/claims/UPN"
]
&&
c2:[
    Type == "http://schemas.microsoft.com/ws/2012/01/accounttype",
    Value == "User"
]
=> issue(
    Type = "http://schemas.microsoft.com/ws/2008/06/identity/claims/issuerid",
    Value = regexreplace(
    c1.Value,
    ".+@(?<domain>.+)",
    "http://${domain}/adfs/services/trust/"
    )
);

@RuleName = "Issue issuerID for domain-joined computers"
c:[
    Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid",
    Value =~ "-515$",
    Issuer =~ "^(AD AUTHORITY|SELF AUTHORITY|LOCAL AUTHORITY)$"
]
=> issue(
    Type = "http://schemas.microsoft.com/ws/2008/06/identity/claims/issuerid",
    Value = "http://' + $oneOfVerifiedDomainNames + '/adfs/services/trust/"
);'
}

$rule5 = ''
if ($immutableIDAlreadyIssuedforUsers -eq $true) {
$rule5 = '@RuleName = "Issue ImmutableID for computers"
c1:[
    Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid",
    Value =~ "-515$",
    Issuer =~ "^(AD AUTHORITY|SELF AUTHORITY|LOCAL AUTHORITY)$"
]
&&
c2:[
    Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname",
    Issuer =~ "^(AD AUTHORITY|SELF AUTHORITY|LOCAL AUTHORITY)$"
]
=> issue(
    store = "Active Directory",
    types = ("http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID"),
    query = ";objectguid;{0}",
    param = c2.Value
);'
}

$existingRules = (Get-ADFSRelyingPartyTrust -Identifier urn:federation:MicrosoftOnline).IssuanceTransformRules

$updatedRules = $existingRules + $rule1 + $rule2 + $rule3 + $rule4 + $rule5

$crSet = New-ADFSClaimRuleSet -ClaimRule $updatedRules

Set-AdfsRelyingPartyTrust -TargetIdentifier urn:federation:MicrosoftOnline -IssuanceTransformRules $crSet.ClaimRulesString

Note : La création des règles de transformation d’émission est faite automatiquement lors de l’installation d’Azure AD Connect en mode Express ou Custom.

Une fois ces opérations réalisées, les périphériques joints au domaine peuvent s’enregistrer à Azure Active Directory. Les comportements suivants sont observés :

• Pour Windows 10 1607 (Anniversary Update) ou plus, l’enregistrement s’effectue automatiquement lorsque le périphérique démarre ou lorsqu’un utilisateur se connecte.
• Les périphériques Windows 10 1511 joigne automatiquement si la stratégie de groupe (GPO) ou la stratégie du client ConfigMgr est configurée.
• Pour les clients inférieurs à Windows 10, vous devez déployer le package dédié.

Pour plus d’informations, je vous invite à lire : How to configure hybrid Azure Active Directory joined devices.

La dernière étape consiste à inciter les machines à s’enregistrer. Ceci peut se faire par GPO, System Center Configuration Manager ou manuellement.

Vous pouvez créer la GPO qui permet de forcer l’enregistrement. Pour rappel avec Windows 10 1607, l’opération a lieu automatiquement.

Vous devrez peut-être intégrer les ADMX de Windows 10 dans votre store afin de pouvoir éditer ce nouveau paramètre de GPO.

Ouvrez une GPO existante ou procédez à la création d’un GPO. Naviguez ensuite dans Computer Configuration > Policies > Administrative Templates > Windows Components > Device Registration. Passez le paramètre Register domain joined computers as devices à Enabled.

Avec System Center Configuration Manager, créez ou ouvrez une stratégie cliente existante. Naviguez dans Cloud Services et validez que le paramètre Automatically register new Windows 10 domain joined devices with Azure Active Directory est à Yes. Déployez la stratégie sur une collection comprenant vos machines Windows 10 si ce n’est pas déjà fait.

Vous pouvez aussi joindre manuellement une machine en utilisant la commande dsregcmd /join. Cette dernière doit être exécutée en tant qu’administrateur.

Cette même commande permet aussi de consulter d’enregistrement d’une machine : dsregcmd /status

Gestion du cycle de vie des enregistrements

Une fois que vous avez activé la création des enregistrements dans les deux annuaires, la question du cycle de vie se pose ! Et bien entendu la réponse se situe au niveau d’Azure AD Connect. Il est ensuite nécessaire de savoir quelle source est maintenue à jour ? Azure Active Directory ou Active Directory ?

Lorsque les enregistrements Azure Active Directory est réécrit dans le conteneur RegisteredDevices dans Active Directory, l’identifiant est utilisé comme nom. Vous pouvez obtenir plus de détails en ouvrant la liste des attributs :

• msDS-DeviceID correspond à l’identifiant unique dans Azure Active Directory. Ce dernier est aussi présent dans le cn.
• displayName contient le véritable nom de la ressource.
• msDS-DeviceOSType correspond au type de système d’exploitation (Windows, iOS, etc.)
• msDS-DeviceOSVersion correspond à la version du système d’exploitation.
• msDS-IsCompliant comprend l’état de conformité de l’enregistrement dans Azure Active Directory.
• msDS-IsEnabled comprend l’état de l’enregistrement dans Azure Active Directory.
• msDS-IsManaged comprend l’état de gestion (MDM) du périphérique dans Azure Active Directory.

On retrouve ces éléments dans le portail Azure Active Directory au niveau de la vue du périphérique :

Il est notamment possible de désactiver ou supprimer l’enregistrement. Ces actions lorsqu’elles sont réalisées sont répercutées dans l’annuaire interne par Azure AD Connect :

Il en est bien entendu de même pour les machines jointes au domaine Active Directory qui se sont enregistrées dans Azure Active Directory :

 Il est donc possible de réaliser ces opérations des deux côtés pour qu’elles se répercutent sur l’autre extrémité.

Dépannage

On retrouve différents moyens de dépanner les problèmes liés à l’hybridation :

• Sur les machines concernées, vous retrouvez des fichiers de journalisation avec notamment :
  • Applications and Services Logs – Microsoft – Windows – AAD
  • Applications and Services Logs – Microsoft – Windows – User Device Registration
• Sur le composant Azure AD Connect, vous retrouvez :
  • Windows – Application avec la source Directory Synchronization
• Sur les différents composants Azure AD Connect et Active Directory Federation Services, vous retrouvez :
  • Applications and Services Logs - AD FS

Microsoft propose une série de webcasts à la demande sur SQL Server 2017 sur Linux :

• SQL Server 2017 on Linux- #1 in price and performance—with massive scale
• SQL Server 2017 on Linux, Providing Industry leading security
• SQL Server 2017 on Linux, In-memory technologies

S’enregistrer à l’un des webcasts