Microsoft a mis à jour (v4.25) le célèbre outil Bginfo de SysInternals. Cette version corrige des régressions introduites dans les versions 4.23 et 4.24.

Télécharger Bginfo v4.25

A l’occasion du salon Bett sur le thème de l’éducation, Microsoft a annoncé des nouveautés pour sa suite de produits et services.

Général

• Microsoft commence par annoncer de nouveaux matériels à des prix très accessibles.
• Minecraft Education Edition se voit rafraichi avec une mise à jour Chimie.

Office 365

• Les outils Microsoft Learning améliorent la lecture, l’écriture et la compression des étudiants. On retrouve notamment
  • la capacité de dicter via la voix dans Word, Word Online, PowerPoint, Outlook Desktop, OneNote Windows 10, et OneNote Online
  • La lecture à haute voix permet de lire le contenu d’un email en surlignant chaque mot de manière synchronisée avec Outlook Desktop.
  • la lecture immersive dans Word for Mac, iPhone, Outlook Desktop, OneNote iPad, et OneNote Mac.
• OneNote Class inclut maintenant l’intégration des notes et assignations pour les élèves de Grande Bretagne.
• OneNote intègre maintenant une capacité permettant de verrouiller les pages en lecture seule.
• Teams est disponible sur iOS et Android pour les professeurs et les étudiants.
• PowerPoint permet aux professeurs d’enregistrer des leçons en incluant les diapositives, l’écriture interactive, la vidéo, la narration. Le professeur peut ensuite publier directement dans la classe Teams. Le streaming ajoute automatiquement els sous-titres à la vidéo.

Plus d’informations sur : https://blogs.office.com/en-us/2018/01/22/office-365-education-delivers-the-next-wave-of-innovation-for-inclusive-and-collaborative-learning/

Microsoft Intune for Education

L’an dernier, Microsoft annonçait une version spécifique de Microsoft Intune pour l’Education. Cette année, Microsoft continue son investissement avec :

• La simplification de la délégation avec des administrateurs supplémentaires (au niveau de l’école, de la ville, etc.)
• L’ajout de nouveaux paramétrages de configuration pour Windows 10 (profils Wi-Fi, Redéploiement automatique de Windows, gestion de l’énergie)
• Des éléments sur les périphériques et utilisateurs gérés (par exemple : l’état du déploiement, les journaux d’audit, les rapports Windows Defender, etc.)

Plus d’informations sur : https://cloudblogs.microsoft.com/enterprisemobility/2018/01/22/new-updates-to-intune-for-education-simplifies-delegation-adds-windows-controls-and-improves-insights/

Source : https://blogs.windows.com/windowsexperience/2018/01/22/microsoft-education-unveils-new-windows-10-devices-starting-at-189-office-365-tools-for-personalized-learning-and-curricula-to-ignite-a-passion-for-stem/

Microsoft s’est associé avec Saaswedo, une entreprise française qui fournit une solution de gestion des dépenses télécom (TEM). C’est une problématique commune à toutes les entreprises : Comment gérer les flottes de forfait et éviter les surprises lors de la facturation ? La solution Datalert de Saaswedo répond à ce besoin en collectant la consommation de données en fonction des emplacements géographique du périphérique. Cette dernière s’intègre à Microsoft Intune pour éventuellement bloquer la consommation de données en fonction de stratégie. La solution vient en sus de Microsoft Intune sous la forme d’un abonnement par périphérique par mois. Elle a notamment été choisie par Gartner comme 2017 Gartner Cool Vendor in Mobile & Wireless Analytic.

Saaswedo et sa solution Datalert! offre les services suivants :

• Supervision des connexions (WiFi, 3G/4G, etc.) et données mobiles
  • Analyser les coûts d’itinérance par zone géographique
  • Afficher l’état de la consommation de données à l’échelle de l’entreprise
  • Envoi automatique d’alertes et de notifications personnalisées.
• Gestion des connexions et de l’itinérance
  • Définition des limites de consommation quotidienne, hebdomadaire et mensuelle des données par utilisateur ou par groupe
  • Blocage de l’itinérance/connexion en fonction des limites définies

Note : Il est nécessaire de ne pas confondre Datalert! de Saaswedo et la solution DatAlert de Varonis. Cette dernière est une solution de sécurité sur les données entrantes dans l’entreprise.

Aujourd’hui la solution est disponible pour les périphériques iOS et Android.

Le but de cette série d’articles est de faire un tour d’horizon de l’intégration entre Microsoft Intune et Datalert avec les phases de mise en œuvre et d’exploitation :

• Datalert! : Aperçu de la solution de gestion des dépenses Telecom (TEM) (configurations préliminaires du tenant et déploiement de l’application)
• Datalert! : Configuration de la solution de gestion des dépenses Telecom (TEM)
• Datalert! : Enregistrement des périphériques iOS & Android et utilisation du service

Cette partie de la série se concentre sur l’expérience utilisateur lors de l’enregistrement et l’utilisation du service.

Avant de démarrer, vous devez disposer d’un abonnement Microsoft Intune. A date d’écriture de cet article (Décembre 2017), Datalert s’intègre uniquement à une configuration Microsoft Intune en mode autonome.

Enregistrement sur iOS et Android

Dans l’article précédent, nous avons déployé l’application DatAlert! sur les périphériques iOS et Android. Cette dernière doit donc apparaître sur le périphérique :

Note : Ceci requiert bien entendu que le périphérique soit enregistré dans la solution d’administration.

L’utilisateur peut donc lancer l’application pour procéder à l’enregistrement. Un écran de bienvenue, explique l’intérêt de l’application et invite l’utilisateur à configurer le service. Deux options d’enregistrement sont proposées :

• Via le numéro de téléphone. Vous devez renseigner le numéro de téléphone. Un message vous sera envoyé avec un code à utiliser pour confirmer l’enregistrement.
• Via le compte Azure Active Directory de l’utilisateur auquel la licence Microsoft Intune (ou EMS) est associée. Cette méthode de connexion requiert l’application Microsoft Authenticator. L’utilisateur doit au préalable avoir ajouté son compte Azure Active Directory. Si cela n’a pas été fait, l’application est lancée pour qu’il effectue l’opération lui-même.

Quelle que soit la méthode, l’application est ensuite configurée. Vous pouvez cliquer sur Terminer. Vous arrivez ensuite sur l’écran principal. Une notification informe l’utilisateur qu’il peut être notifier et que les données consommées peuvent être comptabilisées. Saaswedo précise que la puce GPS n’est pas utilisée. L’utilisateur est ensuite invité à valider l’accès aux données de localisation.

Expérience Utilisateur de l’application

L’application permet à l’utilisateur de suivre sa consommation de données selon trois espaces : Wifi, 3G/4G et Roaming. Il peut filtrer les données sur la journée, par semaine ou par mois.

Dans la partie Roaming, on retrouve deux types de vue permettant éventuellement d’obtenir une vision globale de toutes les zones ou de focaliser sur une zone en particulier :

Outre les politiques définies par l’administrateur, l’utilisateur peut configurer lui-même des alertes sur les différents compteurs (Wifi, 3G/4G, Roaming) :

L’utilisateur peut recevoir des notifications en Push pour l’informer de différents éléments comme la mise à jour de son forfait par l’administrateur, la nécessité d’ouvrir l’application pour permettre le fonctionnement optimal du service, etc.

Utilisation du service au quotidien par l’administrateur

Le point d’entrée de l’administrateur est le tableau de bord du portail Datalert!. Il retrouve sur cet espace des éléments comme :

• Le nombre de lignes non enregistrées
• Le nombre de lignes muettes et qui n’ont donc pas communiquée pendant une période importante
• Le nombre de ligne en dépassement.
• Le coût total de l’itinérance pour la période en cours.
• Une carte proposant les informations sur l’usage en roaming, en zone Domestique ou Domestique étendu, en Wifi ou le nombre de lignes.
• Un graphe avec la consommation (itinérance, domestique, domestique étendu, Wifi) par jour. Vous pouvez cliquer sur les valeurs qui vous intéressent afin d’obtenir la liste des lignes concernées.

• Des diagrammes circulaires par forfait offrant une vue de la consommation par zone. Ce dernier permet de filtrer par opérateur et par forfait. Vous pouvez cliquer sur les valeurs qui vous intéressent afin d’obtenir la liste des lignes concernées.

• La liste de toutes les lignes en itinérance avec la consommation totale et la possibilité d’envoyer un message ou de désactiver la donnée en itinérance ou en usage domestique. Depuis ce même panneau, vous pouvez lancer des actions plus globales sur chacune des lignes.

Note : vous pouvez changer l’intervalle du tableau de bord en haut à gauche pour avoir les informations sur la journée, la semaine, le mois, les 30 derniers jours (par défaut) ou un intervalle personnalisé.

L’espace Lignes affiche l’ensemble des lignes importées ou enregistrées dans le service. On retrouve pour chaque ligne :

• Le nom/prénom de l’utilisateur
• Le numéro de téléphone. Il est notamment possible de cliquer sur le numéro pour lancer l’application associée à cette action et éventuellement joindre l’utilisateur.
• Le système d’exploitation (Android ou iOS)
• L’opérateur et le pays
• Le forfait
• La période d’étalement du forfait
• La consommation totale en itinérance
• La consommation totale Domestique
• Le nombre d’alertes générées et la stratégie appliquée
• La date de dernière connexion
• Les tags d’identification associés à la ligne : Ces derniers permettent de filtrer selon vos besoins (par service, fonction, etc.)

La partie haute permet d’afficher en lieu et place de la consommation : Les coûts ou le pourcentage de consommation.

Une fonction permet la recherche par utilisateur, numéro de téléphone ou tag. La liste est filtrable selon certaines caractéristiques de lignes :

• En dépassement
• En itinérance
• Non enregistrées
• Sans forfait,
• Muettes

Note : Il est possible d’exporter les informations.

Lorsque, vous sélectionnez une ou plusieurs lignes, un menu est disponible pour permettre de choisir une action à appliquer :

• Définir le forfait des lignes
• Dissocier la politique télécom
• Envoyer un message parmi ceux définit dans les réglages.
• Gérer les étiquettes/tags
• Envoyer un lien d’enregistrement (email ou SMS)
• Révoquer la ligne
• Supprimer la ligne
• Activer ou désactiver l’itinérance
• Activer ou désactiver l’usage de la donnée
• Synchroniser le forfait lorsque vous avez opéré un changement sur ce dernier.

En cliquant sur une ligne, vous pouvez obtenir une vue plus détaillée avec des diagrammes plus précis de la consommation Wifi, domestique ou en itinérance. On retrouve aussi un tableau de consommation, une carte du monde permettant de voir la répartition et le coût total de l’itinérance.

Pour les périphériques Android uniquement, une vue permet de voir la répartition de la consommation de données par application. Celle-ci peut être affichée en cliquant sur la flèche rouge sur la partie gauche de l’écran.

Suivi de la consommation par Applications

Outre les fonctions vues précédemment, Datalert! a ajouté récemment une fonctionnalité permettant de suivre la consommation de données par application. Cette fonctionnalité est disponible pour les systèmes Android uniquement. En effet, la plateforme iOS bride ces usages.

Vous pouvez accéder au tableau de bord via le menu Apps. Le tableau d’accueil comprend :

• Un diagramme circule de répartition des applications selon un nombre défini.
• Le nombre total d’applications détectées
• La répartition par plateformes
• La répartition entre applications dites professionnelles et personnelles
• Le top des applications avec le volume de données générées et le pourcentage associé. Une barre de recherche permet de se focaliser sur une application spécifique.

Le tableau de bord peut être lorsque les données ont été générées en itinérance, Domestique, Domestique étendu et Wifi.

Le bouton orné d’un personnage à gauche permet de passer sur une vue par ligne affichant :

• Les données générées en itinérance, Domestique, Domestique étendue, Wifi
• Le nombre total d’applications
• Le top 3 des applications et la consommation associée

Le bouton orné d’une étoile permet de catégoriser les applications entre usage personnel et professionnel :

Conclusion

Vous avez pu voir une solution de gestion des dépenses télécom (TEM) complète qui ne cesse de s’étoffer. Son intégration avec Microsoft Intune rend la solution de gestion de périphériques mobiles (MDM) plus complète pour les entreprises qui veulent pouvoir correctement gérer les coûts associés aux abonnements téléphoniques.

Microsoft vient de mettre à disposition la Technical Preview 1801 (5.0.8611.1000) de System Center Configuration Manager. Pour rappel, ConfigMgr a subi une refonte de sa structure pour permettre des mises à jour aisées de la même façon que l’on peut le voir avec Windows 10. Si vous souhaitez installer cette Technical Preview, vous devez installer la Technical Preview 1711 puis utiliser la fonctionnalité Updates and Servicing (nom de code Easy Setup).

Note :  La mise à niveau échoue si vous avez un serveur de site en mode passif. Ceci peut être le cas si vous utilisez la Technical Preview 1706, 1707, 1708, 1709, 1710, 1711 ou 1712. Vous devez alors désinstaller le serveur de site en mode passif.

System Center Configuration Manager TP 1801 comprend les nouveautés suivantes :

Administration

• L’administrateur peut créer des déploiements phasés (Phased deployment) afin d’automatiser et coordonner le séquencement du déploiement d’un logiciel sans avoir à créer plusieurs déploiements. Ceci permet de choisir plusieurs collections et des seuils de validation (pourcentage de succès, nombre de clients installés) pour passer à la collection suivante. Notez que pour l'instant cette fonctionnalité n'a pas d'impact sur les clients ; elle est dans cette version uniquement esthétique.
• On retrouve du Reporting sur le Co-Management depuis la partie Monitoring – Upgrade Readiness – Co-Management. On retrouve notamment le pourcentage de périphériques dans un mode co-géré, la distribution par système d’exploitation, l’état de co-gestion (Azure-AD, Hybrid Azure AD, en échec), la répartition des périphériques par fonctionnalité (stratégies de conformité, Windows Update for Business, etc.).
• Il est maintenant possible de réassigner un point de distribution vers un autre site primaire sans avoir à redistribuer le contenu. Ceci ne fonctionne uniquement si le système de site ne comprend le rôle point de distribution.
• Amélioration de l’inventaire matériel pour que les nouvelles classes ajoutées puissent supporter des propriétés de type chaine de caractères avec une longueur de plus de 255 caractères. Ceci ne s’applique pas aux clés.
• La partie Software Center des paramétrages du client affiche maintenant un espace de prévisualisation du logo et/ou du nom de l’organisation.
• Un nouveau paramétrage du client permet de cacher les applications non approuvées du Software Center. Ainsi, les applications disponibles pour l’utilisateur mais qui requièrent une approbation sont cachées à l’utilisateur.
• Arrivé il y a quelques Previews, la fonctionnalité de création et exécution des scripts PowerShell depuis la console ConfigMgr directement sur des collections se voit améliorée. Il est maintenant possible d’importer des scripts PowerShell signées. Notez qu’il n’est pas possible de copier/coller ce genre de script.

Gestion des paramétrages

• Les stratégies Windows Defender Application Guard proposent deux nouveaux paramétrages d’interaction de l’hôte :
  • Websites can be given access to the host’s virtual graphics processor.
  • Files downloaded inside the container can be persisted on the host.

Gestion des mises à jour logicielles

• Grace aux retours sur UserVoice, il est maintenant possible de planifier des règles de déploiement automatique (ADR) décalée du jour de base. Par exemple, le but est de décaler l’évaluation deux jours après le deuxième mardi du mois.

Plus d’informations sur : https://docs.microsoft.com/en-us/sccm/core/get-started/capabilities-in-technical-preview-1801

Voici le récapitulatif des annonces faites par Microsoft concernant sa plateforme Microsoft Azure.

Parmi les annonces, on retrouve notamment :

General

• Preview des budgets au niveau de l’abonnement via les APIs ARM. L'API budgets vous permet de définir un budget pour un abonnement, ainsi que plusieurs seuils de notification. À titre d'exemple, vous pourriez avoir un abonnement dans lequel vous établissez un budget de 1 000 $ et des notifications de configuration à 25 %, 50 %, 75 % et 100 %. Ces avis seraient déclenchés lorsque vos coûts d'utilisation excèdent 250 $, 500 $, 750 $ et 1 000 $ respectivement.
• Microsoft fait l’acquisition d’Avere Systems pour accélérer l’innovation du traitement haute performance pour les industries média et divertissement. Avere Systems fournit une solution combinant des technologies de caching et de système de fichiers pour améliorer les problématiques de performance.

Azure MarketPlace

• 7 nouvelles offres apparaissent dans l’Azure MarketPlace avec notamment : Heimdall Data SQL Optimization Platform, Luminate Security Connector, Renku Language Detection Engine, BeeGFS Free - Community Support, Elastic Stack on Kubernetes, Quartus® Pro and Intel® FPGA SDK For OpenCL, Wordpress LEMP Max Performance.

Azure Network

• Disponibilité Générale des règles augmentées pour les Network Security Groups. Les Augmented rules simplifient la définition de la sécurité pour les réseaux virtuels, vous permettant de définir des stratégies de sécurité réseau plus vastes et complexes, avec moins de règles. Vous pouvez combiner plusieurs ports, plusieurs adresses IP explicites, des étiquettes de service et des groupes de sécurité d'application en une seule règle de sécurité facile à comprendre.

Azure Security Center

• Public Preview de Security Center adaptive application controls afin d’aider à bloquer des logiciels malveillants et des applications potentiellement non souhaitées en appliquant des listes blanches adaptées au contexte via du Machine Learning.
• Azure Security Center découvre maintenant automatiquement les instances Microsoft Web Application Firewall qui ne sont pas provisionnées avec ASC. Cette intrégration permet d’aider à sécuriser des applications contre des vulnérabilités (SQL Injection, DDoS, cross-site scripting, etc.).
• Preview du support des évaluations de sécurité personnalisées pour Azure Security Center. Ceci permet de personnaliser les règles par défaut ou de créer des règles additionnelles qui correspondent à vos configurations Windows souhaitées.

IaaS

• Disponibilité Générale d’Accelerated Networking pour Windows et Linux. Cette fonctionnalité permet de fournir jusqu’à 30Gbps pour le réseau. AN fournit une latence réseau ultra-faible et constante grâce au matériel programmable d'Azure et à des technologies telles que SR-IOV. En déplaçant une grande partie de la pile réseau définie par le logiciel Azure hors des CPU et dans des SmartNIC, les cycles de calcul sont récupérés par les applications, ce qui allège la charge sur le VM, diminue la gigue et réduit les incohérences de latence. Les séries prises en charge comprennent D/DSv2, D/DSv3, E/ESv3, F/FS, FSv2 et Ms/Mms.

Azure Stack

• Extension de Microsoft Azure IP Advantage à Azure Stack afin de donner les mécanismes de protection d’IP que les Datacenters Microsoft Azure. Le but est de protéger les environnements des IPs non familières via le portefeuille défensif de 10 000 brevets.

Azure Information Protection

• Public Preview de l’intégration entre Azure Information Protection et Cloud App Security permet d’appliquer automatiquement de scanner les fichiers récupérées ou uploadées et d’y appliquer automatiquement une classification pour la protection.
• Mise à jour de la documentation avec :
  • Des exemples sur les capacités fournies par Office 365 Message Encryption et l’utilisation avec les labels AIP.
  • La mise à jour des recommandations sur l’utilisation d’un coffre-fort à clé dédié.
  • Mise à jour à propos de l’affichage de la barre d’information de protection dans les applications Office pour spécifier qu’elle est en Preview et qu’elle nécessite la version Preview du client.
  • Mise à jour pour spécifier le retrait du portail classique et ajout d’une note pour les clients Office 365 US Government afin de spécifier qu’ils ne peuvent utiliser le portail Azure et qu’ils doivent se rabattre sur PowerShell pour gérer les modèles.
  • Suppression de Windows Server 2008 et Windows Vista comme systèmes d’exploitation supportés pour le client RMS. Ceci comprend le non support d’AD RMS.
  • Mise à jour des informations de cycle de vie du support pour spécifier que chaque version du client AIP est supporté pour 6 mois après la publication d’une nouvelle version.
  • Nouveau prérequis pour les machines Windows 7 afin de permettre la classification et la protection de fichiers PDF : Visual C++ Redistributable for Visual Studio 2015 (32-bit version)

Operations Management Suite

Azure Log Analytics

• Nouvelle agent Linux en version 1.4.3-147 avec la correction de bugs et l'apport d'une nouvelle version OMI et SCX.
• Intégration entre Azure HDInsight et Azure Log Analytics pour obtenir les alertes, les éléments de supervision et dépanner vos charges de travail Azure HDInsight..

Azure Backup

• Azure Backup supporte maintenant le chiffrement des machines virtuelles Azure via Bitlocker Encryption Key (BEK) pour les disques gérés ou non. Il est possible de mixer le scénario Key Encryption Key et BitLocker Encryption Key.

Azure Monitor

• Preview d’une nouvelle expérience pour la gestion des alertes dans Azure Monitor. On retrouve notamment une vue consolidée des alertes, une vue consolidée pour voir les règles d’alertes, et une expérience de personnalisation unique et simplifiée.

Azure SQL

• Le niveau de compatibilité 140 est celui par défaut pour Azure SQL Database. 539 903 bases de données Azure SQL Database utilisent déjà ce niveau de compatibilité.
• Nouvelle version de SQL Operations Studio. Pour rappel ces outils sont disponibles depuis Windows, macOS, et Linux pour permettre de gérer SQL Server, Azure SQL DB, et Azure SQL Data Warehouse. Cette version corrige des problèmes et permet de sauvegarder les connexions, de changer la couleur des onglets de l’éditeur SQL, et activer la fonctionnalité qui réouvre les fichiers non sauvegardés.

Azure Analysis Services

• Azure Analysis Services est disponible dans les DataCenters East US, West US 2, USGov-Arizona et USGov-Texas.
• Publication de l’API REST pour Azure Analysis Services. Cette dernière permet d'effectuer des opérations de rafraîchissement de données de manière asynchrone. Il ne nécessite donc pas de connexions HTTP de longue durée de la part des applications clientes.

Azure Data Factory

• Public Preview des outils visuels pour Azure Data Factory v2. L'objectif principal des outils visuels d’ADF est de vous permettre d'être productif avec ADF en mettant en place des pipelines rapidement sans avoir besoin d'écrire une seule ligne de code. Vous pouvez utiliser une interface simple et intuitive sans code pour glisser-déposer des activités sur une toile de pipeline, effectuer des tests, déboguer de manière itérative, déployer et surveiller les exécutions de votre pipeline. On retrouve le support de toutes les activités de flux de contrôle : HDInsight Hive, HDInsight Pig, HDInsight Map Reduce, HDI Streaming, HDI Spark, U-SQL, Stored Procedure, Web, For Each, Get Metadata, Look up, Execute Pipelin, HDI (on-demand, BYOC), ADLA, Azure Batch.
• De nouveaux connecteurs dans Azure Data Factory v2 dont notamment : Amazon Marketplace Web Service (Beta), Azure Database for PostgreSQL, Concur (Beta), Couchbase (Beta), Drill (Beta), Google BigQuery (Beta), Greenplum (Beta), HBase, Hive, HubSpot (Beta), Impala (Beta), Jira (Beta), Magento (Beta), MariaDB, Marketo (Beta), Oracle Eloqua (Beta), Paypal (Beta), Phoenix, Presto (Beta), QuickBooks (Beta), SAP Cloud for Customer (C4C), ServiceNow (Beta), Shopify (Beta), Spark, Square (Beta), Xero (Beta), et Zoho (Beta).
• .

HDInsight

• Baisse de jusqu’à 53% du prix d’Azure HDInsight.
• Baisse de jusqu’à 80% du prix pour R Server pour Azure HDInsight. Ceci réduit le coût à 0.016 par cœur par heure.
• Disponibilité Générale d’Apache Kafka sur Azure HDInsight permettant de construire des solutions d'analyse en temps réel de type entreprise, open-source, telles que l'IoT, la détection des fraudes, l'analyse de flux de clics, l'analyse sociale et plus encore avec le SLA Azure HDInsight à 99,9%.
• Public Preview de l’intégration avec Power BI direct query permettant de créer des rapports dynamiques basés sur les données et métriques que vous avez sur vos clusters Interactive Query dans Azure BLOB store ou Azure Data Lake store.

Azure IoT

• Les extensions IoT pour Azure CLI 2.0 sont disponible et permettent d’interagir avec Azure Resource Manager et les management endpoints..

Autres services

• Les outils Azure Data Lake s’intègrent avec VSCode Data Lake Explorer et les comptes Azure.
• Video Indexer supporte la personnalisation pour la reconnaissance de dialogue automatique avec l’intégration de Microsoft Custom Speech Service.
• Publication des outils de développeurs Time Series Insights (TSI).

Brad Anderson (Corporate Vice President, Enterprise Client & Mobility) a publié une nouvelle vidéo pour faire un bilan sur 2017 et introduire 2018. Configuration Manager a dépassé 100 millions de périphériques. C’est le seul service dans cette situation avec Office 365, Azure Active Directory et Windows Defender. Il présente les nouveautés de décembre et ses prédictions pour l’année 2018.

https://channel9.msdn.com/Series/Endpoint-Zone/The-Endpoint-Zone-with-Brad-Anderson-1801?ocid=player

Microsoft a mis à jour son kit permettant de créer un laboratoire de déploiement et de gestion de Windows 10 pour Microsoft 365. Ce Laboratoire vous permet de gérer Windows 10 Enterprise et Office 365 Pro Plus de manière moderne. Il inclut :

• Windows 10 Enterprise, Version 1709 (Fall Creators Update)
• System Center Configuration Manager, version 1702
• Windows Assessment and Deployment Kit for Windows 10, version 1709
• Microsoft Deployment Toolkit (8443)
• Microsoft Application Virtualization 5.1
• Microsoft BitLocker Administration and Monitoring 2.5 SP1
• Windows Server 2016
• Microsoft SQL Server 2014

On retrouve différentes solutions et scénarios prévus comme :

• Windows Analytics Update Compliance
• Gérer Windows 10 avec Configuration Manager
• Gérer Office 365 ProPlus avec Configuration Manager
• Windows Information Protection
• Windows Defender Advanced Threat Protection
• Windows Defender Application Guard
• Windows Defender Exploit Guard
• Windows Hello
• Credential Guard
• Device Encryption (MBAM)
• Device Guard - User Mode Code Integrity
• Remote Access (VPN)
• Windows Analytics Upgrade Readiness
• Desktop Bridges
• Browser Compatibility
• Windows App Certification Kit
• Application Virtualization

Télécharger Microsoft 365 powered device lab kit

Je vous en parlais il y a quelques semaines, un problème touche Windows 10 1709 et la stratégie visant à désactiver les périphériques Direct Memory Access (DMA) lorsque l’ordinateur est verrouillé. En effet la sécurité de cette dernière a été durcie, ce qui n’a pas été sans conséquence sur certains périphériques où BitLocker était activé.

Microsoft vient de confirmer qu’il travaille sur un correctif qui sera proposé au travers de Windows Update. Dans l’immédiat, il est recommandé de désactiver la stratégie « Disable new DMA devices when this computer is locked ».

Source : https://blogs.technet.microsoft.com/secguide/2018/01/18/issue-with-bitlockerdma-setting-in-windows-10-fall-creators-update-v1709/

Microsoft cherche à comprendre si les entreprises utilisent toujours les entités de sécurité locales (utilisateurs ou groupes) sur Windows Server dans des environnements avec Active Directory.

Prenez quelques secondes pour répondre au sondage.

L’équipe ConfigMgr a publié un correctif cumulatif à destination de System Center Configuration Manager 1710. Le correctif s’applique au serveur de site, aux consoles, et aux clients.

Note : les sites secondaires doivent être mis à jour manuellement et une procédure permet de vérifier la mise à jour effective de leurs bases de données.

Parmi les corrections, on retrouve :

Clients

• Les clients qui utilisent Azure Active Directory (Azure AD) pour l'authentification ne communiquent pas correctement avec un Management Point. Ce problème se produit si le point de gestion est distant du serveur du site et configuré en utilisant un compte utilisateur pour la communication SQL.
• Les clients Configuration Manager 1710, ne sont pas mis à niveau sur les systèmes qui exécutent Windows Server 2008 SP2. Le programme d'installation du client, Ccmsetup.exe, se termine de manière inattendue, et une erreur similaire à ce qui suit est enregistrée dans le journal de l'application:

Faulting application ccmsetup.exe, version 5.0.8577.1000, time stamp 0x5a03cc4c, faulting module KERNEL32.dll!K32EnumProcessModules

• Si un client Configuration Manager redémarre pendant le processus de réessaie d'un téléchargement de stratégie de séquence de tâches, cette séquence de tâches ne s'exécute pas automatiquement après le redémarrage. La séquence de tâches peut être retentée manuellement après le redémarrage.

Systèmes de site

• La demande Client Notification Restart est traitée incorrectement par les Management Points distants. Ceci engendre qu'un fichier de notification. bld reste dans le dossier \MP\Outboxes\bggb. box du Management Point distant.
• Les messages d'état relatifs à la mise hors service provenant d'ordinateurs clients cogérés sont mal traités. Les erreurs suivantes sont consignées dans le fichier Statesys.log:

SQL MESSAGE: spProcessStateReport - Error: Message processing encountered a SQL error 547 at record 14 for TopicType 810: "The MERGE statement conflicted with the CHECK constraint "ClientCoManagementState_MachineID_Partition_CK".

• Les messages d'état envoyés par les utilisateurs Azure AD ne peuvent pas être traités. Ceci provoque des erreurs qui ressemblent aux suivantes pour être enregistrées dans le fichier Statesys.log:

"Conversion failed when converting from a character string to uniqueidentifier.", Line 0 in procedure ""

Gestion de contenu et de la distribution de logiciels

• Le temps de bascule configuré pour le contenu n'est pas respecté si les points de distribution ou leur contenu sont inaccessibles. Dans cette situation, les clients basculent plus rapidement que le délai spécifié.
• La re tentative de téléchargement de fichier unique volumineux, tel qu'un fichier de mise à jour Office 365, peut échouer sur un serveur de site avec l'une ou l'autre des erreurs suivantes enregistrées dans le fichier Patchdownload.log:

ERROR: DownloadContentFiles() failed with hr=0x800700b7

ERROR: DownloadContentFiles() failed with hr=0x800362et

• L'Assistant d'installation de l’application Office 365 peut essayer de télécharger du contenu à partir d'un canal incorrect. Ceci provoque des échecs de téléchargement.
• La persistance du contenu dans le paramètre de cache client des propriétés du paquet n'est pas respecté par les clients. Ceci entraîne la suppression du contenu du paquet lorsque le cache client est effacé via l’applet Configuration Manager.

Stratégies d’accès conditionnel et paramétrages

• Les politiques d'accès conditionnel peuvent bloquer l'accès aux applications Office 365 pour les périphériques liés au domaine après la migration vers Intune standalone.

Gestion des mises à jour logicielles

• Le téléchargement des mises à jour express peut échouer sur les clients Windows 10 en raison d'un problème qui affecte les fichiers des dossiers temporaires et des dossiers cache. Dans ce cas, les erreurs qui ressemblent aux suivantes sont enregistrées dans le fichier DeltaDownload.log:

HttpSendResponseEntityBody failed with error 1006.

NO_ERROR == dwRetVal, HRESULT=800703ee

NO_ERROR == dwRetVal, HRESULT=800704cd

HttpSendResponseEntityBody failed with error 1229.

Console d’administration

• La console Configuration Manager peut se terminer inopinément après avoir navigué vers un emplacement de contenu dans l'Assistant d'installation du client Office 365.

Pour installer la mise à jour, rendez-vous dans la partie Updates and Servicing de la console d’administration.

Plus d’informations sur la KB4057517 Update rollup for System Center Configuration Manager current branch, version 1710

Il y a un an, Microsoft annonçait un programme Microsoft Professionnal Degree (MPD) permettant d’obtenir un diplôme calibré sur le curriculum universitaire pour les professionnels de l’informatique. L’initiative est construite sur la plateforme Open edX d’Azure. L’objectif de Microsoft est d’appliquer d’offrir du Learning as-a-Service. Aujourd’hui, Microsoft vient d’ouvrir les inscriptions pour le programme IT Support.

 Microsoft propose déjà plusieurs autres programmes : Data Science, Big Data Engineering, Cloud Administration, DevOps et Front end Web Development.

Plus d’informations :  https://borntolearn.mslearn.net/b/weblog/posts/the-microsoft-professional-program-now-includes-it-support

Microsoft s’est associé avec Saaswedo, une entreprise française qui fournit une solution de gestion des dépenses télécom (TEM). C’est une problématique commune à toutes les entreprises : Comment gérer les flottes de forfait et éviter les surprises lors de la facturation ? La solution Datalert de Saaswedo répond à ce besoin en collectant la consommation de données en fonction des emplacements géographique du périphérique. Cette dernière s’intègre à Microsoft Intune pour éventuellement bloquer la consommation de données en fonction de stratégie. La solution vient en sus de Microsoft Intune sous la forme d’un abonnement par périphérique par mois. Elle a notamment été choisie par Gartner comme 2017 Gartner Cool Vendor in Mobile & Wireless Analytic.

Saaswedo et sa solution Datalert! offre les services suivants :

• Supervision des connexions (WiFi, 3G/4G, etc.) et données mobiles
  • Analyser les coûts d’itinérance par zone géographique
  • Afficher l’état de la consommation de données à l’échelle de l’entreprise
  • Envoi automatique d’alertes et de notifications personnalisées.
• Gestion des connexions et de l’itinérance
  • Définition des limites de consommation quotidienne, hebdomadaire et mensuelle des données par utilisateur ou par groupe
  • Blocage de l’itinérance/connexion en fonction des limites définies

Note : Il est nécessaire de ne pas confondre Datalert! de Saaswedo et la solution DatAlert de Varonis. Cette dernière est une solution de sécurité sur les données entrantes dans l’entreprise.

Aujourd’hui la solution est disponible pour les périphériques iOS et Android.

Le but de cette série d’articles est de faire un tour d’horizon de l’intégration entre Microsoft Intune et Datalert avec les phases de mise en œuvre et d’exploitation :

• Datalert! : Aperçu de la solution de gestion des dépenses Telecom (TEM) (configurations préliminaires du tenant et déploiement de l’application)
• Datalert! : Configuration de la solution de gestion des dépenses Telecom (TEM)
• Datalert! : Enregistrement des périphériques iOS & Android et utilisation du service

Cette partie de la série se concentre sur la configuration du service Datalert! de gestion des dépenses Telecom (TEM).

Avant de démarrer, vous devez disposer d’un abonnement Microsoft Intune. A date d’écriture de cet article (Décembre 2017), Datalert s’intègre uniquement à une configuration Microsoft Intune en mode autonome.

La configuration de la solution de gestion des dépenses Telecom (TEM) Datalert! se fait via le portail qui vous est communiqué lors de la souscription au service.

Configuration du service

Lorsque vous arrivez sur le portail, vous pouvez cliquer sur Réglages. Depuis cet espace, on retrouve différentes configurations possibles que nous aborderons dans ce billet. On retrouve une première partie Personnalisation qui permet d’uploader un logo et de choisir les couleurs du portail.

La partie Comptes permet d’ajouter des comptes qui accéderont au service pour permettre la gestion et la configuration.  Une option permet de spécifier l’utilisation comme Super admin ; c’est-à-dire disposant des droits étendus dans la partie Réglages.

Assistant de configuration initiale

La mise en service offre un assistant de configuration visant à vous aider à peupler votre tenant avec les informations nécessaires à son fonctionnement. On retrouve notamment :

• L’import des lignes qui constituent votre parc de téléphonie
• L’ajout des opérateurs et forfaits de votre flotte
• La définition des zones d’itinérance (roaming) pour chacun des forfaits
• Les politiques télécom qui sont appliquées aux alertes 3G/4G et roaming
• L’association des lignes
• La communication envoyée à ces lignes pour le lancement du service.

D’un point de vue pratique, il est recommandé d’importer toutes les lignes associées à un seul opérateur à la fois. Répétez l’assistant pour tous les opérateurs que vous utilisez et leurs lignes associées.

Vous pouvez accéder à cet assistant lors de l’ouverture du service ou via l’espace Réglages où vous pouvez cliquer sur Déploiement.

La première étape permet d’utiliser une matrice d’import au format CSV pour créer et renseigner les lignes téléphoniques associées aux utilisateurs. La page permet de récupérer un fichier type ainsi qu’un fichier d’exemple. La matrice permet de renseigner les informations suivantes sur l’utilisateur :

• Nom
• Prénom
• Email de l’utilisateur
• Matricule
• Numéro de téléphone
• Tag utilisé pour regrouper les lignes et filtrer dans la console du service
• Si la ligne permet de recevoir des SMS

Une fois rempli, vous pouvez importer le fichier dans l’assistant du service et passez à l’étape de définition de l’opérateur et du forfait. Vous pouvez soit créer un nouveau forfait ou utiliser un opérateur/forfait existant. Cette page permet de choisir le fair use associé au forfait ainsi que le jour de facturation auquel réinitialiser le compteur.

Sur l’écran suivant, vous pouvez définir les différentes zones de roaming du forfait que vous avez créé ainsi que les limites de consommation de données et le coût au-delà du seuil.

Vous pouvez ajouter autant de zones que vous souhaitez et sélectionnez les pays associés. Le service Datalert! vous facilite le regroupement avec la capacité de filtrer sur la base des 7 zones principales : Asie, Europe, Afrique, Amérique du Nord, Amérique du Sud, Océanie, Antarctique. Vous pouvez ensuite choisir les pays.

La page suivante permet de configurer les politiques télécom associées à l’opérateur et au forfait sélectionné. Vous pouvez ainsi spécifier des alertes sur la consommation 3G/4G ou sur l’itinérance. Vous devez aussi définir les comportements : Envoi d’un message, Envoi d’un message au manager, désactivation de la data.

On retrouve en outre la possibilité de configurer des alertes (Email + Push) de manière répétée ou non sur le statut de connexion ne permettant pas la remontée des informations dans les situations suivantes :

• L’application est fermée par l’utilisateur.
• Le mode économie d’énergie ou exécution en arrière-plan est désactivé.
• Le périphérique est éteint ou hors réseau.
• L’application a été supprimée par l’utilisateur.

Enfin, il est possible de définir les options de blocage MDM en cas de dépassement des limites. Cela permet notamment de laisser la possibilité à l’utilisateur de réactiver manuellement les connexions de données. Dans ce cas de figure, vous pourrez choisir d’envoyer un message, d’envoyer un message au manager et de désactiver la donnée en spécifiant éventuellement un intervalle de récurrence de ces actions.

L’écran suivant permet de sélectionner les lignes à laquelle vous souhaitez appliquer la configuration que vous êtes en train de créer.

La dernière étape de configuration permet de communiquer le déploiement aux utilisateurs en envoyant soit un SMS de notification, soit un email d’information.

Enfin, vous retrouvez un résumé de la configuration effectuée.

Ajout d’opérateurs et de forfaits

Si vous souhaitez ajouter des opérateurs et forfaits sans passer par l’assistant, vous pouvez naviguer dans les réglages et dans la partie Forfait/Zones pour accéder aux mêmes capacités permettant d’ajouter des opérateurs, de nouveaux forfaits à un opérateur existant, ou des zones à forfait existant.

Vous pouvez rajouter autant de zones que correspondant aux caractéristiques d’un forfait donné.

Ajout d’une ligne téléphonique

L’ajout de lignes téléphoniques peut se faire indépendamment de l’assistant sur la page principale en naviguant dans la partie Lignes. Un bouton Ajouter ligne est proposé et ouvre une fenêtre permettant d’ajouter des lignes en spécifiant le matricule, le prénom, le nom, le courriel et le numéro de téléphone de l’utilisateur.

Une fois la ligne crée, vous pouvez définir un forfait depuis la partie Choisir une action… - Définir un forfait.

Vous aurez la possibilité de choisir parmi les opérateurs et forfait existants tout en choisissant le jour de début de forfait dans le mois.

Configuration des managers et de notifications

Lorsque vous arrivez sur le portail, vous pouvez cliquer sur Réglages. Depuis cet espace, on retrouve différentes configurations possibles comme l’ajout de Managers et pour notifier sur les alertes d’itinérance ou de dépassement de la consommation.

La partie Notifications permet de configurer les messages de notifications qui seront envoyés aux différentes personnes. Vous pouvez notamment configurer différentes langues pour les types d’alertes :

Ajout de politiques télécom

De la même façon, il est possible de rajouter des stratégies ou politiques télécom indépendamment de l’assistant depuis les Réglages. Les options sont accessibles dans Politique télécom et permettent de rajouter des politiques à des forfaits précédemment créés.

On retrouve un écran similaire à celui de l’assistant permettant de définir les seuils et alertes.

Dans un billet suivant, nous abordons l’usage de la solution au quotidien.

Microsoft vient d’annoncer que la dernière version Windows Insiders de Windows 10 vient d’intégrer la fonctionnalité permettant d’accéder aux fichiers à la demande (On-Demand File Access) apparaissait pour Work Folders. A l’image de son intégration à OneDrive, ceci permet d’éviter l’impact sur la bande passante ou sur l’espace de stockage local.

Ceci permet d’afficher les fichiers dans l’explorateur sans pour autant les télécharger en avance de phase. Lorsque l’utilisateur clique sur le fichier, ce dernier est téléchargé de manière à l’ouvrir.

Plus d’informations sur : https://blogs.technet.microsoft.com/filecab/2018/01/08/work-folders-on-demand-file-access-feature-for-windows-10/

A plusieurs reprises, j’ai eu des échanges qui ont révélé une incompréhension de la fonctionnalité de Pre-Caching de contenu intégrée dans System Center Configuration Manager 1706. Cette fonctionnalité prometteuse permet de pré-télécharger le contenu nécessaire à une séquence de tâches avant que cette dernière soit exécutée (souvent à la demande). Le pré-téléchargement doit filtrer le contenu qui est véritablement nécessaire. Le scénario principal s’adresse aux entreprises qui veulent utiliser des séquences de tâches pour faire la mise à niveau de Windows 10.

Avec les échanges que j’ai eus, je me suis rendu compte qu’il fallait quelques précisions sur le comportement attendu :

• Le Pre-Caching télécharge tout ce qui est référencé dans la séquence de tâches excepté pour les tâches Upgrade Operating System qui sont filtrées en fonction de la langue et de l’architecture sur le système d’exploitation.
• Les conditions spécifiées sur les différentes de la séquence de tâches, ne sont pas évaluées par la fonctionnalité de Pre-Caching. Le client utilise ce qui est spécifié sur le package de mise à niveau (OS Upgrade Package). Par conséquent si vous avez 40 packages de drivers, la fonctionnalité télécharge les 40 packages de drivers.
• Des messages d’état sont renvoyés pour spécifier quel contenu est téléchargé.

Microsoft s’est associé avec Saaswedo, une entreprise française qui fournit une solution de gestion des dépenses télécom (TEM). C’est une problématique commune à toutes les entreprises : Comment gérer les flottes de forfait et éviter les surprises lors de la facturation ? La solution Datalert de Saaswedo répond à ce besoin en collectant la consommation de données en fonction des emplacements géographique du périphérique. Cette dernière s’intègre à Microsoft Intune pour éventuellement bloquer la consommation de données en fonction de stratégie. La solution vient en sus de Microsoft Intune sous la forme d’un abonnement par périphérique par mois. Elle a notamment été choisie par Gartner comme 2017 Gartner Cool Vendor in Mobile & Wireless Analytic.

Saaswedo et sa solution Datalert! offre les services suivants :

• Supervision des connexions (WiFi, 3G/4G, etc.) et données mobiles
  • Analyser les coûts d’itinérance par zone géographique
  • Afficher l’état de la consommation de données à l’échelle de l’entreprise
  • Envoi automatique d’alertes et de notifications personnalisées.
• Gestion des connexions et de l’itinérance
  • Définition des limites de consommation quotidienne, hebdomadaire et mensuelle des données par utilisateur ou par groupe
  • Blocage de l’itinérance/connexion en fonction des limites définies

Note : Il est nécessaire de ne pas confondre Datalert! de Saaswedo et la solution DatAlert de Varonis. Cette dernière est une solution de sécurité sur les données entrantes dans l’entreprise.

Aujourd’hui la solution est disponible pour les périphériques iOS et Android.

Le but de cette série d’articles est de faire un tour d’horizon de l’intégration entre Microsoft Intune et Datalert avec les phases de mise en œuvre et d’exploitation :

• Datalert! : Aperçu de la solution de gestion des dépenses Telecom (TEM) (configurations préliminaires du tenant et déploiement de l’application)
• Datalert! : Configuration de la solution de gestion des dépenses Telecom (TEM)
• Datalert! : Enregistrement des périphériques iOS & Android et utilisation du service

Avant de démarrer, vous devez disposer d’un abonnement Microsoft Intune. A date d’écriture de cet article (Décembre 2017), Datalert s’intègre uniquement à une configuration Microsoft Intune en mode autonome.

Préparation du tenant

Lors l’interconnexion du service Datalert! à Microsoft Intune, vous devez récupérer l’identifiant du tenant Azure Active Directory.

Ce dernier peut être récupéré via le portail Azure en naviguant dans Azure Active Directory – Properties. Vous trouverez l’identifiant dans le champ Directory ID :

Configuration de l’interconnexion Datalert/Microsoft Intune

Vous recevrez un email avec le lien vers le portail du service Datalert!. Connectez-vous avec le compte utilisateur administrateur de la solution et naviguez dans Settings puis MDM configuration.

Sélectionnez Microsoft Intune et renseignez l’identifiant du tenant Azure Active Directory puis cliquez sur Connection.

Une fenêtre s’ouvre visant à lancer la procédure qui donne les droits au service Datalert! sur Microsoft Intune. Cliquez sur le logo pour ouvrir la fenêtre d’autorisation à Microsoft Azure.

Connectez-vous avec un compte disposant des droits sur le tenant Microsoft Intune et acceptez la page visant à donner les autorisations nécessaires au service Datalert!.

Une page vous annonce la configuration avec succès de l’interconnexion puis le retour sur le portail Datalert valide les étapes d’autorisation Azure AD, de validation de la connexion et d’enregistrement. L’état doit remonter comme actif.

Avant de continuer, validez que le MDM Server est à On dans le portail Datalert!

Déploiement de l’application Datalert sur les périphériques

Il existe différentes manières d’aborder le déploiement de l’application Datalert sur les périphériques de votre entreprise :

• Soit vous gérez uniquement des périphériques d’entreprise et vous pouvez déployer globalement l’application sur tous les périphériques enregistrés ou tous les utilisateurs. Dans ce cas, vous devez bloquer l’enregistrement de périphériques personnels (BYOD) via les options adéquates dans le service Microsoft Intune.
• Soit vous créez une catégorie de périphériques que l’utilisateur pourra choisir lors de l’enregistrement et qui viendra peupler un groupe de périphériques qui se verra déployer l’application.
• Soit l’action de catégorisation est faite manuellement par l’administration ou par pré-enregistrement du périphérique.

Procédez donc à la création d’un groupe qui sera utilisé pour cibler l’application en ouvrant le portail Azure puis en naviguant dans Azure Active Directory – Users and groups – All Groups et en sélectionnant New group. Dans les deux derniers cas, vous pouvez utiliser un groupe peuplé avec l’attribut Ownership pour filtrer les périphériques d’entreprises ou personnels.

Une fois la stratégie définie pour votre contexte, vous pouvez déployer l’application via le portail Azure et le service Microsoft Intune.  Naviguez dans Mobile Apps – Apps et cliquez sur Add.

Choisissez le type d’application Android store app ou iOS store app.

Cherchez ensuite l’application Datalert dans le store via l’assistant intégré du portail Azure :

Validez les informations prérenseignée par l’assistant puis procédez à l’ajout en cliquant sur Add.

Vous pouvez ensuite assigner l’application au groupe précédemment créé en naviguant dans Assignments en sélectionnant un groupe et en choisissant le type de déploiement Required

Vous pouvez répéter l’opération pour Android. Deux solutions s’offrent à vous :

• Soit vous gérez vos périphériques Android via Android for Work et vous pouvez donc déployer l’application Datalert via le Google Play for Work. Dans ce cas, vous devez avoir bien entendu configurer l’interconnexion avec Android for Work.

• Soit vous gérez une partie de vos périphériques sans Android for Work et dans ce cas, vous pouvez utiliser la procédure précédente. Pour Android, il n’existe pas de moyen de chercher l’application, vous devez renseigner l’adresse vers l’application dans le Google Play Store ainsi que l’ensemble des informations demandées (Nom, description, éditeur, système d’exploitation minimum, etc.)

Les versions iOS et Android doivent donc être déployées en fonction des plateformes que vous supportez :

Déploiement de l’application Microsoft Authenticator sur les périphériques iOS

Datalert! offre un service d’authentification spécifique avec Azure Active Directory pour les utilisateurs iOS, vous devez pour cela déployer l’application Microsoft Authenticator via le portail Azure et le service Microsoft Intune.  Naviguez dans Mobile Apps – Apps et cliquez sur Add. Choisissez le type d’application Android store app ou iOS store app. Cherchez ensuite l’application Datalert dans le store via l’assistant intégré du portail Azure :

Validez les informations pré-renseignée par l’assistant puis procédez à l’ajout en cliquant sur Add.

Vous pouvez ensuite assigner l’application au groupe précédemment créé en naviguant dans Assignments en sélectionnant un groupe et en choisissant le type de déploiement Required

Une fois l’application déployée, vous pouvez passer à la configuration du service Datalert !. 

L’équipe Microsoft Intune a publié un billet qui rappelle qu’il est nécessaire d’activer l’authentification moderne pour Skype for Business de manière à bénéficier l’accès conditionnel d’Azure Active Directory. Le support de l’authentification moderne a été apporté en mai 2017 par une mise à jour cumulative sur Skype for Business Server 2015.

Outre l’accès conditionnel, ce sont les stratégies de protection d’application qui nécessite aussi l’authentification moderne. Ces stratégies présentes dans Intune App Protection, permettent d’empêcher la perte de données.

Plus d’informations sur : https://techcommunity.microsoft.com/t5/Skype-for-Business-Blog/Hybrid-Modern-Authentication-for-Skype-for-Business/ba-p/134751

Source : https://blogs.technet.microsoft.com/intunesupport/2018/01/11/support-tip-intune-app-protection-requires-modern-authentication-enabled-for-skype-for-business/

Microsoft a annoncé que Windows 10 1709 (Fall Creators Update) est maintenant pleinement disponible pour tout le monde incluant les entreprises. Ceci signifie que la version a passé le statut de Semi-Annual Channel (Broad) ou Current Branch for Business (CBB).

Les médias seront publiés sur Windows Update, Windows Update for Business, WSUS et Microsoft Volume License Center à partir du 22 Janvier.

Plus d’informations sur les versions de Windows 10 sur : http://aka.ms/win10releaseinfo

Source : https://blogs.windows.com/windowsexperience/2018/01/11/windows-10-fall-creators-update-1709-fully-available/

Il y a une semaine, le monde passait 2018 avec l’information que la majorité des périphériques équipés d’un processeur Intel, AMD ou ARM, étaient vulnérables à de nouvelles failles de sécurité. Même IBM est concerné par cette problématique. Ceci est valable quel que soit le système d’exploitation (Windows, Linux, macOS, AIX, IBM i, iOS, Android, etc.). En effet, les deux failles en question : Spectre et Meltdown, touchent l’architecture même du processeur. Ceci demande à l’éditeur de modifier le kernel du système d’exploitation afin d’adapter les appels processeur pour que la faille ne puisse pas être exploitée.
Encore une fois, Google a pris tout le monde de cours en révélant la faille quelques jours avant que la mise à jour de sécurité ne soit publiée. A noter qu’Intel vient de publier un autre bulletin de sécurité à propos de son contrôleur de gestion AMT.

Je souhaitais faire un article pour résumer les nombreuses informations que l’on retrouve sur Internet. Je vais me concentrer sur les environnements Microsoft même si vous devez porter une attention particulière pour des machines Linux, macOS ou des périphériques iOS ou Android.

Que faut-il appliquer pour que mon système ne soit pas vulnérable ?

Il existe différents niveaux de mises à jour :

• Le système d’exploitation doit être mis à jour en fonction des indications de l’éditeur.
  • January 3, 2018–KB4056897 (Security-only update)
  • January 9, 2018–KB4056894 (Monthly Rollup)
  • January 3, 2018–KB4056888 (OS Build 10586.1356)
  • January 3, 2018–KB4056892 (OS Build 16299.192)
  • January 3, 2018–KB4056891 (OS Build 15063.850)
  • January 3, 2018–KB4056890 (OS Build 14393.2007)
  • January 3, 2018–KB4056898 (Security-only update)
  • January 3, 2018–KB4056893 (OS Build 10240.17735)
  • January 9, 2018–KB4056895 (Monthly Rollup)
  • Notez que Microsoft ne mettra pas à jour Windows XP, Windows Vista, Windows WES 2009, Windows POSReady 2009.
• Le firmware de la machine doit être mis à jour. Microsoft a par exemple publié des mises à jour pour les périphériques Surface encore supportés. Notez que pour certaines mises à jour de firmware, il est recommandé de désactiver BitLocker avant d’installer. Vous pouvez pour cela utiliser une séquence de tâches avec les actions suivantes :
  • Disable BitLocker
  • Install Application
  • Restart Computer
• Pour voir la liste des firmwares publiés en prévision de publication, rendez-vous sur le site des éditeurs :
  • Dell PCs and Thin Client
  • Dell EMC Server, Dell Storage and Networking products
  • Lenovo
  • HP Client
  • HP Server
  • Acer
  • Asus
  • Fujitsu
  • Panasonic
  • Supermicro
  • Toshiba
  • VAIO

• Certaines applications doivent être mises à jour lorsqu’elles font des appels processeurs sur une machine physique. C’est par exemple le cas de toutes les versions de SQL Server (exceptées celles qui fonctionnent sur Itanium…) mais aussi d’autres moteurs de base de données (PostgreSQL, etc.). Ainsi des mises à jour sont disponibles excepté pour les versions non supportées (SQL server 2000 et 2005) :
  • Security Update for SQL Server 2008 SP4 (KB4057114)
  • Security Update for SQL Server 2008 R2 SP3 (KB4057113)
  • Security Update for SQL Server 2016 RTM CU (KB4058559)
  • Security Update for SQL Server 2016 RTM(KB4058560)
  • Security Update for SQL Server 2016 SP1 (KB4057118)
  • Security Update for SQL Server 2016 SP1 CU (KB4058561)
  • Security Update for SQL Server 2017 RTM (KB4057122)
  • Security Update for SQL Server 2017 CU (KB4058562)
  • SQL Server 2016 SP1 CU7
  • SQL Server 2017 CU3

Il existe un risque accru si le serveur physique exécute Hyper-V, Remote Desktop Services Hosts (RDSH) ou du code non connu comme des conteneurs, des extensions pour les bases de données, des sites web non connus, etc. Dans ce cas, il est recommandé d’activer la protection sur le serveur via des clés de registre décrite dans cet article : Windows Server Guidance to protect against the speculative execution side-channel vulnerabilities

Les différentes mises à jour relatives à Microsoft peuvent être déployées via Microsoft Update, Windows Update for Business, WSUS et bien entendu System Center Configuration Manager. Ceci inclus les mises à jour de firmware à destination des périphériques Surface.

A noter que pour ces dernières et System Center Configuration Manager, les firmwares devraient apparaître dans la console d’administration dans les jours qui viennent.

Voici tous les articles de recommandation de Microsoft :

• Windows Client Guidance for IT Pros to protect against speculative execution side-channel vulnerabilities
• Windows Server Guidance to protect against the speculative execution side-channel vulnerabilities
• SQL Server Guidance to protect against speculative execution side-channel vulnerabilities
• Microsoft Cloud Protections Against Speculative Execution Side-Channel Vulnerabilities
• Surface Guidance for Customers and Partners: Protect your devices against the recent chip-related security vulnerability
• Azure Stack guidance to protect against the speculative execution side-channel vulnerabilities
• Exchange Server guidance to protect against speculative execution side-channel vulnerabilities

Comment appliquer la mise à jour Windows ?

Le changement sur le kernel peut engendrer des incompatibilités avec les applications qui effectuent des appels non standards ou qui ne passent pas par les APIs standards. C’est le cas des Antvirus !

C’est pourquoi, Microsoft a créé un mécanisme spécial pour l’application de la mise à jour de sécurité.  Cette dernière ne s’applique que si la clé suivante a été créée :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\QualityCompat

Valeur : cadca5fe-87d3-4b96-b7fb-a231484277cc
Type : REG_DWORD
Donnée  : 0x00000000

En fonction de l’antivirus et de sa version, la clé a pu être créée automatiquement par ce dernier. C’est le cas pour les antivirus suivants :

• Windows Defender
• System Center EndPoint Protection
• Microsoft Security Essentials
• Sophos
• Kaspersky
• McAfee VirusScan Enterprise 8.8 ou plus et Endpoint Security (ENS) 10.0.2 ou plus
• ESET

Note : La création de la clé de registre requiert que les mises à jour de définition soient faites et à jour.

Voici la liste des antivirus compatibles :

• McAfee
• Sophos
• Kaskersy
• Stormshield Endpoint Security
• ESET

Vous pouvez cliquer sur les liens pour obtenir la liste des versions. Voici une liste non officielle des antivirus et leur compatibilité.

C’est donc à vérifier que votre antivirus et la version que vous utilisez, a créé la clé nécessaire ou que la version est compatible. Dans ce dernier cas de figure, vous devez créer la clé vous-même.

Plus d’informations sur : Important: Windows security updates released January 3, 2018, and antivirus software

Quid du Cloud ?

Les différents fournisseurs Cloud effectuent ou ont effectué des mises à jour des différentes briques. C’est le cas de Microsoft avec les machines virtuelles et les hôtes sur ses Datacenter Microsoft Azure.

Comment vérifier si le système est vulnérable ?

Microsoft a publié un module PowerShell SpeculationControl permettant de vérifier si les machines sont vulnérables à cette faille de sécurité.

Il existe de nombreux moyens d’exécuter le script :

• Via la gestion de conformité de System Center Configuration Manager. Microsoft a publié une baseline pour ce besoin.
• Via la fonction d’exécution des scripts qui est apparue dans System Center Configuration Manager 1706.

L’article de l’equipe produit ConfigMgr détaille comment mettre en œuvre cette vérification.

Vous pouvez en apprendre plus sur le script et notamment la signification des éléments renvoyés via l’article de la base de connaissances : Understanding the output of the Get-SpeculationControlSettings PowerShell script

En outre, il existe des solutions communautaires qui offre un rapport en interrogeant les différentes machines.

Quels sont les problèmes connus ?

Il est à noter que pour l’heure, la mise à jour de sécurité provoque des problèmes avec les périphériques AMD engendrant des écrans bleus sans capacité de restauration des systèmes :

• Unbootable state for AMD devices in Windows 8.1 and Windows Server 2012 R2
• Unbootable state for AMD devices in Windows 7 and Windows Server 2008 R2

Existe-t-il un impact sur les performances ?

Malheureusement, il y a belle et bien un impact qui dépend de nombreux paramètres : Le système d’exploitation, l’application, et la configuration de l’environnement (nombre d’utilisateurs, action effectuée, etc.). Difficile de donner des statistiques exactes, certaines applications sont touchées (Ex : Remote Desktop Services, etc.) alors que d’autres ne le sont pas ou peu.

Chaque fabricant ou éditeur de solution publie (ou ne le fait pas) des informations sur le sujet. Microsoft s’attache en ce moment à évaluer l’impact au cas par cas.

Focus sur System Center Configuration Manager

Vous le savez, j’ai une attache particulière à Configuration Manager et par conséquent, il me parait important de donner des recommandations sur l’impact sur ce produit. La mise à jour n’a pas d’impact en termes de compatibilité sur le produit. L’impact sur les performances est négligeable.

Veillez à ne pas suivre les recommandations pour l’application des KB SQL Server en ne désactivant pas la CLR et les linked servers.

Des recommandations spécifiques sont disponibles sur : Additional guidance to mitigate speculative execution side-channel vulnerabilities

Microsoft va proposer un événement de questions/réponses. Cet évènement aura lieu le mardi 16 janvier de 18h à 19h ou 1h à 2h (heure française). Ask Microsoft Anything est une belle opportunité pour poser des questions sur les services Windows Analytics Upgrade Readiness, Update Compliance et Device Health.

Pour s’inscrire : https://techcommunity.microsoft.com/t5/Windows-Analytics-AMA/bd-p/WindowsAnalyticsAMA

Microsoft a mis à jour son outil permettant de télécharger et créer une clé USB ou une ISO de Windows.

Télécharger Windows USB/DVD Download Tool

Microsoft a publié un billet à propos de la nouvelle version du portail d’entreprise (Company Portal) de Microsoft Intune à destination d’iOS. Cette version comprend un retravaille complet du design.

Vous pouvez tester cette version en avant-première via le lien suivant : https://aka.ms/intune_ios_cp_testflight

Vous devez pour cela avoir les prérequis suivants :

• Un tenant Intune avec un le certificat Apple Push Notification Service (APNs) configuré
• Un périphérique iOS de test.
• Fournir des retours sur l’expérience.

Pour plus d’informations et obtenir un aperçu du rendu graphique : https://blogs.technet.microsoft.com/intunesupport/2018/01/11/coming-soon-user-experience-update-to-the-intune-ios-company-portal-app/

Luca Vitali (MVP) a créé un tableau comparatif très intéressant sur les fonctionnalités présentes dans Skype for Business On-Prem, Online et Teams. Vous obtenez une vue synthétique de ce qui est déjà présent, sur la roadmap ou non encore planifié.

Source : https://lucavitali.wordpress.com/2017/10/01/sfb-teams-features-comparison-table/  

NOTE : La date de fin de vie a été déplacée au 31 août 2018

A partir du 2 avril 2018, Microsoft ne permettra plus la gestion des périphériques mobiles (MDM) dans l’ancien portail Microsoft Intune en Silverlight. En lieu et place, il sera nécessaire d’utiliser le portail Intune dans Microsoft Azure.

Ainsi, seule la gestion classique des PCs avec l’agent Intune restera dans le portail Silverlight.

Vous devez vérifier que la migration de votre tenant s’est bien passé en validant les stratégies, les messages dans le centre Office Message Center.

A noter que pour les entreprises qui utilisent Microsoft Intune dans mode hybride couplé à System Center Configuration Manager, la configuration d’Android for Work et des solutions de Mobile Threat Defense se feront toujours depuis le portail Silverlight.

Source : https://blogs.technet.microsoft.com/intunesupport/2018/01/03/plan-for-change-use-intune-on-azure-now-for-your-mdm-management/

Microsoft a publié la version finale de PowerShell Core 6. Cette version est proposée comme une solution OpenSource cross-plateforme. Le but est d’adresser des besoins et changements demandés par les clients dans des délais plus courts que ce qui a été le cas avec Windows PowerShell.  Il n’y a plus de dépendance sur le Framework .NET.

Pour rappel, Microsoft a renommé l’exécutable PowerShell en pwsh.exe pour PowerShell Core 6. Les versions précédentes et les extensions de fichiers ne sont pas impactées.

Les plateformes supportées sont les suivantes :

• Windows 7, 8.1, et 10
• Windows Server 2008 R2, 2012 R2, 2016
• Windows Server Semi-Annual Channel
• Ubuntu 14.04, 16.04, et 17.04
• Debian 8.7+, et 9
• CentOS 7
• Red Hat Enterprise Linux 7
• OpenSUSE 42.2
• Fedora 25, 26
• macOS 10.12+

On retrouve aussi des packages et versions non supportées pour :

• Arch Linux
• Kali Linux
• AppImage
• Windows sur ARM32/ARM64
• Raspbian (Stretch)

Plus d’informations sur : https://blogs.msdn.microsoft.com/powershell/2018/01/10/powershell-core-6-0-generally-available-ga-and-supported/

Télécharger

• PowerShell Core 6.0 sur Windows
• PowerShell Core 6.0 sur macOS et Linux

Avec l’arrivée de Windows 10, Microsoft a travaillé son système d’exploitation pour offrir un nouvel écosystème aux développeurs. La promesse est grande, la plateforme universelle Windows doit offrir une expérience commune quelque soit le périphérique (fonction, taille, écran, etc.). En outre, ce modèle doit révolutionner dont les applications sont proposées, déployées, maintenues etc. L’objet de cet article est d’aborder les applications converties en applications universelles (APPX) via Desktop Bridge ou Desktop App Converter

Avant d’aller plus loin, je vous invite à lire la première partie de cette série qui traite de la conversion d’une application.

Une fois convertie, il existe différents moyens de déployer l’application :

• Microsoft Store : Ceci revient à publier l’application dans le Microsoft Store. Seuls les développeurs peuvent être concernés par cette méthode.
• Microsoft Store for Business : Ceci permet aux entreprises qui ont développé des applications métiers de les publier et déployer via le Microsoft Store for Business.
• Package de provisionnement via Windows Imaging and Configuration Designer (WICD). Cette méthode reste artisanale mais peut être intéressante pour des périphériques en mode Kiosk.
• Des solutions d’administration comme System Center Configuration Manager ou Microsoft Intune.
• Manuellement via AppInstaller ou les outils PowerShell

Déploiement de l’application manuellement

Une fois convertie, vous pouvez déployer manuellement l’application via AppInstaller inclus dans Windows 10 mais vous devez pour cela autoriser le chargement d’applications dans l’application Settings (Paramètres) – Update & Security – For Developers. Sélectionnez Sideload apps :

Vous n’avez plus qu’à double cliquer sur l’AppX pour lancer l’installation :

Note : Le certificat qui a signé l’application doit être délivré par une autorité de confiance et/ou déployé dans le store Trusted People ou Trusted Root Certification Authorities.

Les applications sont installées dans le dossier C:\Program Files\WindowsApps\<Nom du Package>. On y retrouve l’exécutable et le fichier manifest (AppxManifest.xml)

Une fois installée, l’application peut ensuite être désinstaller par l’utilisateur via le menu démarrer :

Déploiement de l’application via Microsoft Intune

L’installation manuelle n’est clairement pas envisageable dans le monde de l’entreprise. En lieu et place, nous allons détailler comment déployer l’application via Microsoft Intune. Notez que le processus similaire peut être adopté avec System Center Configuration Manager.

Si vous avez utilisez un certificat autosigné, vous devez le déployer sur les périphériques. Il en est de même si vous avez utilisé un certificat provenant de votre autorité de certification interne. Vous devez alors déployer le certificat de l’autorité racine.

Note : Cette opération n’est pas nécessaire si vous avez utilisé un certificat de signature de code provenant d’une autorité publique.

Commencez par ouvrir le portail Microsoft Intune puis naviguez dans Device configuration puis Profiles. Faites Create profile.
Renseignez le nom du profil et la description. Sélectionnez la plateforme Windows 10 and later. Choisissez le type de profil : Trusted Certificate.
Enfin sur la page de configuration, renseignez le fichier du certificat (.cer) et le magasin de destination : Computer certificate store – Root.

Cliquez sur OK puis Create.

Une fois le profil créé, assignez-le à un groupe contenant les périphériques Windows 10.

Note : Ce groupe doit être créé par vos soins. Je vous invite à lire mon article sur le sujet.

Maintenant que le profil du certificat est déployé, vous pouvez déployer l’application. Pour ce faire sur le portail Microsoft Intune, naviguez dans Mobile Apps – Apps. Cliquez sur Add. Sélectionnez le type d’application Line-of-business app et renseignez le fichier d’application APPX.

Sur l’écran App Information, renseignez les informations de l’application :

• Nom
• Description
• Editeur,
• Catégorie
• URL d’information
• URL de vie privée

Cliquez sur Ok puis Add.

Vous pouvez suivre l’upload de l’application via la partie notifications du portail :

L’application créée, vous pouvez compléter la partie Assignments pour choisir à qui et comment déployer l’application. Sélectionnez le groupe cible puis la façon dont elle doit être mise à disposition : De manière obligatoire ou en libre-service.

Expérience utilisateur via la gestion moderne

Maintenant que vous avez déployé le certificat et l’application, jetons un coup d’œil à une machine Windows 10 enregistrée dans Microsoft Intune. Après synchronisation des stratégies, on peut voir apparaître le certificat dans le magasin Trusted Root Certification Authorities :

Rappel : Ceci n’est pas nécessaire avec un certificat provenant d’une des autorités listées dans ce magasin (Ex : GeoTrust, GlobalSign, Entrust, Digicert, etc.)

Dès lors que la machine est gérée par Microsoft Intune et qu’une application universelle a été chargée sur le poste, Microsoft Intune se charge de passer le paramètre de chargement des applications à la valeur adéquate :

L’application déployée apparaît dans le Menu Démarrer :

Elle peut être démarrée de manière transparente :

Dépannage du déploiement par Microsoft Intune

De manière à déployer le déploiement d’une application universelle (APPX), vous pouvez ouvrir l’observateur d’événements (EventViewer) et naviguez dans Applications and Services Logs -  Microsoft – Windows. Vous retrouvez les trois catégories :

• AppXDeployment
• AppXDeployment-Server
• AppxPackagingOM

Vous retrouverez dans ces journaux des informations sur le déploiement, l’enregistrement, la maintenance des applications universelles (APPX).

En outre à partir de Windows 10 1709, vous pouvez générer un rapport de diagnostic à partir de l’application Settings (Paramètres) – Accounts – Access work or school en cliquant sur le compte puis Info. Dans la section Connection Info, vous pouvez choisir Create Report puis Export. Un fichier MDMDiagReport.html est exporté dans C:\Users\Public\Documents\MDMDiagnostics.