Certains ont peut-être remarqué qu’il n’est pas possible d’activer Windows Hello sur Windows 10 1703 lorsque la machine est jointe au domaine. Ce problème est persistant même en activant toutes les GPOs liées à Windows Hello. En réalité, le problème est lié à la version de Windows 10 1703 qui comporte un bug. Vous devez alors créer la valeur de clé de registre suivante : AllowDomainPINLogon à 1 (REG_DWORD) dans HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System.

Microsoft a publié une nouvelle version Update Rollup 4 pour System Center 2016 Virtual Machine Manager (KB4041074). Le correctif s’applique au serveur et à la console d’administration.

Cette version apporte l’amélioration suivante :

• Support de TLS 1.2 comme protocole de sécurité pour les communication.

Il corrige les problèmes suivants :

• L'installation de VMMAgent ou la mise à niveau par Update Rollup remplace la valeur winrm/config/MaxTimeoutms.
• La propriété AvailabilitySet est perdue lorsque vous migrez une VM Hautement Disponible (HA) ou Non-HA sur un cluster en tant que VM HA sur le même cluster ou un cluster différent.
• La migration de stockage d’une VM échoue lorsque plusieurs snapshots existent au même niveau.
• La suppression d'une VM qui a plusieurs snapshots ne supprime pas le VHD/VHDX s'il y a une suppression de snapshot parent.
• Le déploiement de VM est bloqué à 97% lorsque vous créez le VM à partir d'un modèle qui a un disque OS qui est composé d'un SetupComplete.cmd qui ne se termine pas dans une nouvelle ligne.
• La cmdlet PowerShell New-SCVMHost provoque une exception critique lorsqu'il est exécuté en tant qu'administrateur délégué.
• L'interface utilisateur Virtual Machine Manager lorsque. NET Framework 4.7 est installé plante lorsque vous essayez de donner l'accès utilisateur/groupe à une machine virtuelle.
• Lorsque la migration d’une VM cross-cluster échoue pour des raisons autres que l'annulation de la tâche Virtual Machine Manager Manager, les ressources fantômes sont laissées sur le cluster source.
• La cmdlet PowerShell Get-SCVirtualMachine lève une exception lorsque le cmdlet est exécutée alors que la suppression d'un disque / volume sur la VM est en cours.
• Le moniteur Management Pack - CPU Utilization n'avertit pas quand WinRM est configuré pour utiliser https.
• Lorsque NC Host Agent est rafraichi, le paramètre vmqWeight peut être modifié s'il est défini via Virtual Machine Manager.
• Les versions antérieures de Virtual Machine Manager permettaient la conversion des réseaux logiques de type HVN en d'autres types de réseaux logiques, même s'il y avait des réseaux VM associés. Cette fonctionnalité était incorrecte et a été supprimée.
• Dans la version japonaise, lorsque vous créez un pool IP, l'option Automatique dans la liste des métriques de Default Gateway n'est pas traduite de l'anglais. La sélection de l'option Automatique entraîne une erreur.
• Désactiver la virtualisation de réseau sur un réseau logique qui n'a pas de réseaux VM associés échoue.
• Dans la version allemande, l'assistant de configuration du profil de port n'affiche pas la barre de défilement, car la liste complète des options n'est pas affichée.
• En cas de d’échec du déploiement CN sur le cloud, le message d'erreur affiché est générique et imprécis.
• Les limites par défaut, pour les composants du réseau tels que les réseaux VM, les passerelles, les sous-réseaux, etc ne peuvent être changé à travers le contrôleur réseau.
• Le déploiement d'un commutateur logique avec SR-IOV et SET provoque l'erreur de suivi:

When SR-IOV is enabled on the logical switch 'Test SET SR-IOBV', there can only be one uplink port.

Either disable SR-IOV or set the number of uplink ports to one.

ID:25208

• Plusieurs VMs perdent la connectivité lorsqu'un processus de basculement VMM se produit lors de l'ajout d'une ressource VM Role en utilisant WAP/SPF avec équilibrage de charge HTTPS activé échoue et provoque l'erreur suivante :

Error (31304)

VM Role resources was not successfully deployed in the Cloud Service

Recommended Action

VM Role can be repaired if the entity was created

Error (21426)

Detailed Exception: Microsoft.SystemCenter.DataCenterManager.LB.LBException: Invalid Argument Value [HTTPS]

• Aucun administrateur autre que les Administrateurs du tenant ne peut ouvrir la console SCVMM lorsqu'il y a plusieurs adresses IPv6 dupliquées dans la base de données.

Pour obtenir le correctif et plus d’informations, rendez-vous sur la KB4041074 – Update Rollup 4 for System Center 2016 Virtual Machine Manager

Télécharger :

• Virtual Machine Manager Server update package now.
• Administrator Console update package now.

Depuis Windows 10 1709 (Fall Creators Update), Microsoft a intégré un espace qui vise à faciliter les échanges avec les contacts fréquents. Le My People est présent dans la barre de tâches et permet d’épingler les contacts privilégiés.

Aujourd’hui, cette fonctionnalité n’a qu’un intérêt limité dans le monde de l’entreprise car elle ne s’intègre pas encore avec les solutions de collaboration comme Outlook, Skype for Business, Teams, etc.

Par conséquence, on peut vite se demander comment la supprimer. Pour cela, Microsoft a créé un paramètre de stratégie de groupe : Remove the People Bar from the taskbar. Il est présent dans User Configuration – Administrative Templates – Start Menu and Taskbar.

La clé de registre correspondante est la suivante : HKCU\Software\Policies\Microsoft\Windows\Explorer!HidePeopleBar

Il n’existe pas pour l’instant de CSP permettant la configuration via une solution MDM.

Microsoft vient de publier l’Update Rollup 4 pour System Center 2016 Operations Manager (KB4024941). Avant d’appliquer cet UR, lisez bien les articles de la base de connaissances associés. Vous pouvez les déployer manuellement en récupérant les CAB ou via Windows Update/WSUS.

Cette version apporte l’amélioration suivante :

• Support de TLS 1.2 comme protocole de sécurité pour les communication.

Celui-ci corrige les problèmes suivants :

• Quand un fichier de journalisation est supervisé par SCOM, l’agent verrouille le fichier et ne permet pas à ce qu’il puisse être renommé.
• La console APM AppDiagnostics échoue à créer une règle Problem Management à cause d’une erreur FormatException. La chaine appropriée est maintenant utilisée pour formater et l’assistant Problem Management peut s’exécuter sans problème.
• La mise à jour résout un problème qui engendre le crash des pools d’application IIS qui s’exécutent sous CLR 2.0 quand la fonctionnalité APM est installée sur le serveur avec l’agent SCOM. Le code utilise maintenant les instructions mémoire appropriées basées sur la version CLR.
• Le script GetOpsMgrDBWatcherDiscovery.ps1 causant le crash du MonitoringHost.
• WMI Health Monitor ne fonctionne pas si WinRM est configuré pour utiliser HTTPS uniquement.
• Le script SCOMpercentageCPUTimeCounter.ps1 génère des erreurs WMI qui engendre des problèmes de configuration du Service Principale Name (SPN).
• Le moniteur d’état de santé WMI ne fonctionne pas si le SPN http://servername est configuré pour utiliser un compte utilisateur.
• La base de connaissances du produit de la découverte Windows Cluster Service Discovery inclut une référence incorrecte à Windows NT.
• Après un problème réseau, le Management Server n’arrive pas à se connecter au serveur Gateway si ce dernier a été installé avec l’option /ManagementServerInitiatesConnection=True.
• Un changement de configuration sur le périphérique réseau engendre la redécouverte du périphérique, et ce processus change l’adresse de l’agent SNMP.
• La sous clé de registre UseMIAPI empêche la collection des données de règles de performance personnalisées pour tous les serveurs Linux.

Deux problèmes sont connus :

• Lors du retrait ou de la mise à jour d’Audit Collection Services (ACS), l’assistant de l’installeur Audit Collection Services Collector est incorrectement titré "System Center Operations Manager 2012 Audit Collection Server."
• Quand vous accédez à des tableaux de bord Silverlight, un message « Web Console Configuration Required” est affiché.

Télécharger Update Rollup 4 for System Center 2016 Operations Manager

Un des éléments différentiateur mis en avant par Microsoft jusqu’alors par rapport à la concurrence (AirWatch, MobileIron, etc.), était l’Accès Conditionnel sur des services Cloud tels qu’Office 365. Jusqu’à maintenant seul Microsoft Intune était en capacité de bénéficier de cette fonctionnalité apportée par Azure Active Directory Premium. Au début de l’année, Microsoft a discrètement annoncé l’ouverture de l’accès conditionnel aux autres acteurs et ces derniers se sont emparés de l’information pour signifier qu’il n’y avait plus d’intérêt à utiliser la suite EMS.

Après plusieurs mois et des clients qui me parlent de cette fonctionnalité proposée par AirWatch ou MobileIron, j’en profite pour faire un billet qui démystifie un peu l’annonce. L’ouverture de la fonctionnalité s’est faite avec l’arrivée de Microsoft Graph API via le nouveau portail Azure. Microsoft a autorisé la modification de l’attribut IsCompliant nécessaire par l’accès conditionnel basé sur les périphériques.

Il s’avère en réalité que l’accès n’est possible que pour des périphériques Windows 10 uniquement.

Ainsi l’accès conditionnel pour des périphériques iOS ou Android n’est supporté qu’avec Microsoft Intune.

Microsoft vient de publier l’Update Rollup 4 pour System Center 2016 Orchestrator (KB4047355). Avant d’appliquer cet UR, lisez bien les articles de la base de connaissances associés. Vous pouvez les déployer manuellement en récupérant les CAB ou via Windows Update/WSUS.

Cette mise à jour inclut les améliorations suivantes :

• Support de TLS 1.2 comme protocole de sécurité pour les communication.

Celui-ci corrige le problème suivant :

• Orchestrator lève une erreur quand vous avez ajouté plus de 23 groupes dans les permissions d’un dossier de Runbook.
• Les runbooks qui utilisent l’activité Send Email échoue lors du check-in.

Plus d’informations sur : https://support.microsoft.com/en-us/help/4047355/update-rollup-4-for-system-center-2016-orchestrator

Télécharger Update Rollup 4 for System Center 2016 Orchestrator

Ismaël Limbad (Support Escalation Engineer pour l’équipe Windows Core) traite de la configuration des associations de type de fichiers de Windows 10. Ceci permet d’éviter que la mauvaise application soit associée au type de fichiers comme par exemple Microsoft Edge en lieu et place d’Adobe Reader. Cela permet aussi d’éviter le message An App default was reset.

La méthode proposée est la suivant :

• Utilisez une machine de référence
• Installez les applications
• Allez dans le panneau de configuration puis Programmes par défaut (Default Programs) puis configurez les applications par défaut. Avec Windows 1709, ceci est présent dans l’application Paramétrages (Settings).
• Exportez les association d’applications par défaut avec la commande :Dism.exe /online /export-defaultappassociations:C:\temp\CustomFileAssoc.xml
• Validez le fichier XML et ne supprimez aucune ligne !
• Importez le fichier XML via l’une des méthodes suivantes :
  • La commande : Dism.exe /online /import-defaultappassociations:c:\temp\CustomFileAssoc.xml
  • La GPO Computer\Policies\Administrative Templates\Windows Components\File Explorer\Set a default associations configuration file.

Plus d’informations sur le processus via son billet : Windows 10 – How to configure file associations for IT Pros?

Un lecteur est venu m’interpeller sur le fait que les mises à jour Preview des correctifs cumulatifs mensuels (Monthly Quality Rollup) pour Windows, ont disparu de WSUS ou System Center Configuration Manager depuis Septembre.

Il s’avère que Microsoft ne les publie plus dans le catalogue WSUS car elles étaient difficilement gérables avec les règles d’auto-approbation de WSUS. En effet, ces dernières comportent la même classification que les mises à jour cumulatives mensuelles finales. Là où avec Configuration Manager, il est facile de faire un filtre sur le titre, ce n’est pas le cas avec WSUS.

Si vous souhaitez tout de même les utiliser pour les déployer en avance de phase, vous pouvez les importer à la main dans le catalogue WSUS :

• Ouvrez la console d’administration de WSUS.
• Naviguez dans Update Services/<SERVERNAME>/Updates et cliquez droit sur Import.

• Vous êtes redirigez sur le catalogue, cherchez la mise à jour en question.
• Ajoutez là au panier.
• Dans le panier, choisissez d’importer directement dans WSUS.

SSL et TLS ne sont plus considérés comme étant une méthode de chiffrement forte. Ainsi, Microsoft a annoncé le support du protocole de sécurité TLS 1.2 par System Center 2016 :

• System Center Operations Manager (SCOM)
• System Center Virtual Machine Manager (SCVMM)
• System Center Data Protection Manager (SCDPM)
• System Center Orchestrator (SCO)
• Service Management Automation (SMA)
• Service Provider Foundation (SPF)
• System Center Service Manager (SCSM)

Le support implique un processus à 3 étapes :

• Installer les mises à jour de sécurité pour Windows, SQL Server & System Center 2016 UR4. Pour SCVMM, SMA, et SPF, vous devez utiliser l’Update Rollup 3 de System Center 2016. Pour SMA, vous devez aussi mettre à jour le Management Pack.
• Changez les paramétrages pour activer TLS 1.2 dans Windows et System Center
• Effectuer les changements spécifiques aux composants System Center.

Vous pouvez en apprendre plus sur l’article : https://support.microsoft.com/en-us/help/4051111

Microsoft vient de publier l’Update Rollup 4 pour System Center 2016 Data Protection Manager (KB4043316). Avant d’appliquer cet UR, lisez bien les articles de la base de connaissances associés. Vous pouvez les déployer manuellement en récupérant les CAB ou via Windows Update/WSUS.

Cette mise à jour inclut les améliorations sur la sécurité des sauvegardes Azure avec notamment :

• La migration du stockage de sauvegarde entre volumes. Ceci permet d’optimiser l’usage du stockage en déplaçant et stockant les sources de données sur des volumes qui correspondent mieux aux performances attendues. Cela couvre aussi les sources de données qui sont stockées sur des volumes pleins et qui ne peuvent être étendus.
• Exclusion de volumes. Il est maintenant possible de choisir la liste des volumes qui doivent être exclus basés sur une lettre de lecteur ou de point de montage. Ceci évite une sélection accidentelle du volume comme volumes de sauvegarde.
• Support de TLS 1.2 comme protocole de sécurité pour les communication.
• Lorsque vous créez un groupe de protection pour sauvegarder des fichiers et des dossiers, le calcule de la taille peut prendre du temps si le dossier contient de nombreux fichiers. Vous pouvez changer une clé de registre pour que DPM accepte la taille du volume par défaut au lieu de calculer la taille de chaque fichier.
• L’optimisation de la vérification de l’intégrité pour la sauvegarde des machines virtuelles basées sur Hyper-V RCT, élimine le gonflement causé par l’opération et améliore les performances de l’opération.

Celui-ci corrige le problème suivant :

• Les sauvegardes de source de données BMR et System State consomment plus de stockage quand vous utilisez le stockage Modern Backup.
• Quand vous configurez le partage de librairie de cassette, la commande SetSharedDpmDatabase.exe crash quand SQL Server 2012 est utilisée comme base de données DPM.
• Si la sauvegarde de disque est en cours, le job de sauvegarde sur cassette de la source de données peut échouer.
• Les jobs de synchronisation alternatifs sur els fichiers et dossiers d’un volume dédupliquée, lève incorrectement des alertes de fichiers en échec.
• Si plusieurs sources de données sont protégées par le serveur DPM principal, l’activation de la protection depuis un serveur DPM secondaire peut échouer et renvoyer l’erreur 36.
• Quand vous essayez de restaurer des fichiers et dossiers depuis Azure, des objets dans le point de restauration en ligne ne sont pas visibles dans l’interface utilisateur quand l’objet a un chemin plus long que 256 caractères.
• Des crashs de console surviennent lors de l’activation de la protection sur un partage de fichiers qui est protégé par un serveur DPM principal depuis un serveur DPM secondaire.
• L’interface utilisateur arrête de répondre pendant plusieurs minutes lors du lancement d’un job de vérification de l’intégrité.
• La sévérité de l’alerte qui est levée est plus basse depuis critique à informatique, quand une sauvegarde en ligne échoue à cause d’un nouveau disque de sauvegarde présent depuis la dernière sauvegarde en ligne.

Plus d’informations sur : https://support.microsoft.com/en-in/help/4043316/update-rollup-4-for-system-center-2016-data-protection-manager

Télécharger Update Rollup 4 for System Center 2016 Data Protection Manager

Microsoft a publié le premier Cumulative Update (14.0.3006.16) de SQL Server 2017. Ce Cumulative Update comprend plusieurs correctifs.

Plus d’informations sur : https://support.microsoft.com/en-us/help/4038634/cumulative-update-1-for-sql-server-2017

Télécharger SQL Server® 2017 for Microsoft® Windows Latest Cumulative Update

Dirk Brinkmann (MSFT) a créé un Management Pack pour System Center Operations Manager permettant d’étendre la supervision du Management Pack Active Directory pour prendre en compte l’émission RID (Relative Identifier).

Ce Management Pack comporte 6 règles supervisant les événements suivants :

• 16556 Pool Threshold has been reached
• 16555 Global Maximum has increased
• 16554 Pool has been invalidated
• 16553 Configured pool size is greater than supported maximum
• 16557 Pool threshold has been reached – Critical Level
• 16558 Periodic update on remaining RID in pool

Plus d’informations sur : https://blogs.technet.microsoft.com/germanageability/2017/10/25/add-on-mp-for-windows-20122016-ad-rid-issuance-monitoring/

Télécharger le Management Pack Windows 2012/2016 AD RID issuance monitoring

Microsoft vient de publier l’Update Rollup 4 (7.5.7487.89) pour System Center 2016 Services Manager (KB4024038). Avant d’appliquer cet UR, lisez bien les articles de la base de connaissances associés. Vous pouvez les déployer manuellement en récupérant les CAB ou via Windows Update/WSUS.

Celui-ci corrige le problème suivant :

• Service Manager 2016 supportera TLS 1.2 avec cette mise à jour.
• Les liens de navigation du portail en libre-service ne fonctionnent pas quand le menu est dans un état étendu.
• Les règles de validation Regex ne sont pas honorées dans les éléments du formulaire Request offering.
• Les champs de type Date/Time réinitialise la valeur qui doit être stockée à 12h00 pour certaines valeurs quand la valeur transformée en GMT est 00h00
• Les changements dans un Business service sont surchargés, si le Business Service est associé à un objet dans un modèle de Service Request qui est utilisé pour créer la Service Request depuis le portail en libre-service.

Télécharger Update Rollup 4 for System Center 2016 Service Manager

Microsoft a lancé un sondage à destination des entreprises concernant le stockage d’objets On-Premises sur Windows. Le bute st de comprendre les charges de stockage d’objets dans le datacenter et le design des produits et des applications.

Répondre au sondage : https://www.surveymonkey.com/r/5GSVSL7

Microsoft vient de publier la mise à jour de révision de Septembre 2017 pour sa suite Microsoft Desktop Optimization Pack (MDOP). Pour rappel, Microsoft a revu son processus de publication des correctifs qui touchent Microsoft Desktop Optimization Pack (MDOP) avec l’arrivée de Windows 10. On retrouve des mises à jour de maintenance (Servicing Release) chaque mois. Ces dernières sont directement incluses dans les mises à jour cumulatives de Windows 10 ou peuvent être déployées séparément pour les versions de systèmes d’exploitation antérieures. 

Pour App-V 5.1 RTM, on retrouve :

• Les handles dupliqués ne sont pas gérés correctement et engendrent le crash de l’Application Virtuelle.
• Le cycle de vie des entrées de registre n’est pas géré correctement.

Pour MBAM 2.5 SP1, on retrouve :

• Des Deadlocks surviennent dans les bases de données Cluster MBMA.

Pour UE-V 2.1 SP1, on retrouve :

• Les paramétrages de profil sont supprimés de manière incorrecte quand le même nom est utilisé dans différente cas.

Note : La mise à jour des clients App-V et UE-V intégrés aux versions de Windows 10, se fait via les mises à jour cumulatives (Monthly Quality Updates)

Pour obtenir plus d’informations et le correctif, rendez-vous sur la KB4041137 September 2017 servicing release for Microsoft Desktop Optimization Pack

Télécharger Microsoft Desktop Optimization Pack September 2017 Servicing Release

Microsoft propose un webcast d’une heure le 7 novembre de 19h à 20h (heure française) sur Windows Analytics. Ce webcast présenté par Matthew Reynolds et Lead Marc Shepard présentera quand, pourquoi, et comment utiliser Windows Analytics pour améliorer les mises à niveau, le déploiement des mises à jour et la gestion des périphériques. Ils répondront aussi aux questions des participants.

S’enregistrer sur : https://info.microsoft.com/en-us-landing-discoverproactiveinsightswithwindowsanalytics.html

Microsoft IT a publié une plaquette visant à aborder le déploiement d’un poste de travail moderne et sécurisé. On retrouve deux principaux composants : Windows 10 et Office 365. Le document aborde 5 sujets :

• Le déploiement depuis le Cloud
• Le déploiement avec System Center Configuration Manager
• La gestion des mises à jour depuis le Cloud
• La gestion des mises à jour avec System Center Configuration Manager
• La protection des périphériques Windows 10.

Télécharger Microsoft Modern and Secure Desktop

Microsoft a publié un outil principalement dédié aux entreprises pour mettre à jour les périphériques Windows Phone 8.1 éligibles vers Windows 10 Mobile.

Voici les prérequis :

• La machine utilisée pour mettre à jour le téléphone doit utiliser une version supportée de Windows avec le .NET Framework 4.0.
• La machine utilisée pour mettre à jour le téléphone doit disposer d’une connexion Internet et doit pouvoir se connecter à Windows Update.
• Le périphérique doit pouvoir être connecté à un PC via USB
• Le périphérique doit être déverrouillé de son PIN.
• Le périphérique doit être en mode avion avant de pouvoir utiliser l’outil.

Télécharger Over-the-cable Updater tool for Windows Phone 8.1 and Windows Mobile 10

Microsoft vient d’annoncer la mise à disposition d’un nouvel ensemble de fonctionnalités pour Microsoft Intune.

Les fonctionnalités suivantes sont ajoutées :

Général

• Suppression du bouton Enable/Disable pour la page Intune Certificate Authority afin d’éliminer une étape non nécessaire. Si vous désactiviez le connecteur, ce dernier continuait à délivrer des certificats.

Enregistrement

• [General] Un Quick Start est disponible dans la partie Device Enrollment afin de fournit une table de référence pour les plateformes gérées et la configuration du processus d’enregistrement.
• [General] Le tableau des périphériques enregistrés dans Devices > Overview organise les périphériques par plateforme (Android, iOS, macOS, Windows et Windows Mobile). Les autres systèmes d’exploitation sont regroupés dans Others (par exemple Blackberry, NOKIA, etc.)
• [Windows 10] Support du programme Windows AutoPilot Deployment dans Microsoft Intune. our rappel, Windows AutoPilot est l’équivalent du programme Apple Device Enrollment Program (DEP). Il permet de pré-provisionner des périphériques sans action particulière de la part de l’utilisateur. On peut donc acheter le périphérique et le faire livrer directement à l’utilisateur. Ce dernier le démarre et il se configure tout seul avec les éléments nécessaires pour l’entreprise.

• [Android] Amélioration du workflow d’enregistrement dans le portail d’entreprise pour Android. Les éléments utilisateur sont plus user-friendly et spécifique à l’entreprise. Microsoft a aussi combiné des écrans. Les changements sont disponibles sur : https://docs.microsoft.com/en-us/intune/whats-new-app-ui#week-of-october-2-2017
• [Android] L’utilisateur doit accepter les permissions Contacts via le portail d’entreprise sur Android. Si l’utilisateur refuse cet accès, il voir maintenant une notification dans l’application qui l’alerte afin de donner l’accès pour l’accès conditionnel.
• [Android] Les utilisateurs avec des périphériques Android peuvent maintenant afficher la raison de non-conformité dans le portail d’entreprise. Quand cela est possible le portail redirige vers l’emplacement exacte dans les paramétrages pour corriger le problème.
• [Android] Blocage des périphériques Samsung Knox non supportés. Le portail d’entreprise n’enregistrera uniquement les périphériques Samsung KNOX supportés par Samsung.
• [Android] Lors de l’enregistrement d’un périphérique Android for Work avec un profil de travail, c’est le portail d’entreprise dans le profil de travail qui effectue les tâches d’administration sur le périphérique. A moins que vous utilisiez une application MAM dans le profil personnel, le portail d’entreprise pour Android n’est plus utilisé. Afin d’améliorer l’expérience, Intune cache automatiquement le portail d’entreprise personnel après l’enregistrement avec succès du profil de travail. Il est possible de réafficher le portail d’entreprise dans le profil personnel en naviguant dans le Play Store et en cliquant sur Enable.
• [iOS] La page d'Overview pour l'enregistrement montre les alertes utiles à l’administrateur concernant la gestion Apple avec par exemple l'expiration du certificat Apple APN, du token Apple DEP, et quand il y a des périphériques non assignés au programme DEP.

Gestion des périphériques

• [Windows] Support de la prise en main à distance pour Windows et Windows Mobile géré en mode moderne via l’intégration avec TeamViewer.

• [Windows 10] De nouveaux paramétrages sont ajoutés dans le profil Windows 10 device restriction profile dans la catégorie Windows Defender SmartScreen.
• [Windows 10] Il est possible d’exécuter des actions à distance sur l’antivirus Windows Defender comme une analyse rapide, une analyse complète ou la mise à jour des signatures pour des périphériques Windows 10 gérés en mode moderne.

• [Windows] Le portail d’entreprise Windows 8.1 et Windows Phone 8.1 passent en mode support. Cela signifie que les scénarios continuent d’être supportés mais l’application ne recevra que des mises à jour de sécurité critique. Aucun ajout de fonctionnalités ne sera fait à l’application. Microsoft recommande la mise à jour vers Windows 10.
• [Android] Fin de support d’Android 4.3 et versions inférieures. Le portail d’entreprise nécessitera la Android 4.4 ou plus pour fonctionner. Les périphériques qui n’auront pas été mis à jour avant décembre ne pourront plus accéder au portail d’entreprise. Si vous utilisez les stratégies de protection des applications sans MDM, les applications ne recevront plus les mises à jour.
•  [Android] De nouvelles notifications à destination de l’utilisateur final dans le portail d’entreprise pour Android Oreo, indiquent quand le portail d’entreprise effectue des tâches de fond (comme récupérer les stratégies, etc.).
• [iOS] Ajout de l’information Ownership Type dans la vue Device Details du portail d’entreprise sur iOS. Ceci offre plus de transparence à l’utilisateur. 
• [iOS] Ajout du support de l’authentification basée sur des certificats pour le portail d’entreprise iOS. Ceci permet à l’utilisateur de taper simplement son nom d’utilisateur et de choisir de se connecter avec un certificat. Cette capacité est déjà disponible sur le portail d’entreprise pour Android et Windows.

Configuration des périphériques

• [Windows 10] De nouveaux paramétrages pour le profils Windows 10 Team device restriction ont été ajoutés pour permettre de contrôler les périphériques Surface Hub.
• [Android] Vous pouvez utiliser des stratégies de périphérique Android personnaliées pour empêcher les utilisateurs de périphériques Android de changer la date et l’heure. Ceci se fait via ./Vendor/MSFT/PolicyManager/My/System/AllowDateTimeChange
• [Windows 10] La partie Windows Encryption > Base Settings inclut maintenant un paramétrage Warning for another disk encryption afin de désactiver l’avertissement qui est affiché pour le chiffrement d’autres disques en cours d’utilisation sur le périphérique.

Gestion des applications

• [General] Vous pouvez utiliser les tokens pour des valeurs dynamiques dans les configurations d'applications sur les périphériques qui ne sont pas enregistrés.
• [iOS] Les développeurs tierces peuvent distribuer de manière privée des applications via le programme Apple VPP for Business. Ces applications sont maintenant synchronisées avec le tenant Intune lorsqu’un utilisateur les achète.
• [iOS] Vous pouvez choisir un pays pour le store Apple VPP lors de l’upload d’un token VPP. Intune synchronise alors les applications VPP correspondant au store du pays. Aujourd’hui Intune ne synchronise que les applications VPP pour un pays du store VPP qui correspond à la langue d’Intune dans lequel le tenant a été créé.
• [iOS] Vous pouvez spécifier une langue de pays lors de la création d’une application gérée par l’Apple AppStore.
• [iOS] Vous pouvez configurer un token iOS pour mettre à jour toutes les applications achetées pour ce token à travers le service Intune. Ainsi Intune détecte les applications qui doivent être mis à jour et pousse automatiquement les mises à jour aux périphériques qui se présentent.
• [Android] Vous pouvez configurer un profil d’entreprise pour Android for Work afin de bloquer la copie entre les applications d’entreprise et personnelles. Ce paramétrage est présent dans Device Restrictions – Work profile settings de la plateforme Android for Work.

Supervision et Dépannage

• [Général] Le nouveau portail de dépannage (Troubleshoot) offre un espace unique permettant de revoir l'état des périphériques, des déploiements, des stratégies, des groupes, de l'état de protection des applications etc.

• [Général] L’association du périphérique et de l’utilisateur permet maintenant de créer des rapports et de visualiser des données.
• [Général] L’option App protection policy sera ajouté dans la liste déroulante des Assignments à partir de la tuile de dépannage.
• [Windows 10] Vous pouvez voir le rapport de stratégie pour des Update Rings de Windows 10 à partir de Software Updates > Per update ring deployment stat.
• [iOS] Un nouveau rapport Out-of-date iOS Devices est disponible depuis l’espace Software updates. Ce rapport affiche la liste des périphériques iOS supervisés qui sont ciblés par une stratégie de mise à jour iOS et qui ont des mises à jour disponibles.

Plus d’informations sur : https://docs.microsoft.com/en-us/intune/whats-new

Nathan Mercer et Michael Niehaus (MSFT) vont tenir un webinar pour aborder les nouveautés à destination des IT Pros présentes dans Windows 10 1709 (Fall Creators Update). Ce Webinar a lieu le 2 novembre à 18h (heure française). Les sujets suivants seront abordés :

• Provisionner et sécuriser un périphérique plus facilement et rapidement
• Détecter et répondre aux menaces plus efficacement
• Faire un tour d’horizon des fonctionnalités offertes dans cette Update.

S’inscrire au Webinar

Steve Lee (MSFT) a annoncé que l’exécutable de PowerShell allait être renommé pwsh pour l’arrivée de PSCore. Globalement, on retrouvera dans les prochaines versions de Windows :

• powershell.exe pour Windows PowerShell
• pwsh.exe pour PowerShell Core 6

Il n’y aura pas d’impact direct tant que vous n’utiliserez ne ferait pas appel à PowerShell.exe avec un script qui comporte des éléments de PowerShell Core 6. L’extension de fichiers .ps1 reste identique.

Plus d’informations sur : https://github.com/PowerShell/PowerShell/issues/4214

Source : https://twitter.com/Steve_MSFT/status/920706829058949120

Microsoft publie une version Preview d’Azure Migrate Collector. Cette Appliance virtuelle permet de collecter des données sur les machines virtuelles On-premises et d’évaluer leur viabilité dans Azure. L’outil donne notamment le coût d’exécution de la machine virtuelle dans Azure et si elle est prête à être migrée. Il peut être utilisée avec Hyper-V et les environnements vCenter avec des hôtes ESXi.

Télécharger Azure Migrate Collector limited preview v1.0.8.25

Microsoft publie les outils d’administration de serveur à distance (RSAT) pour chaque version de Windows afin d’administrer les serveurs à distance. Microsoft a publié les outils à destination de Windows 10 1709 (Fall Creators Update). Notez que ceux-ci rassemblent Server Manager, les composants additionnels pour la MMC, les cmdlets PowerShell, et les outils en ligne de commande permettant de gérer Windows Server 2016 ou Windows Server 1709. Microsoft a précisé que certains outils pouvaient être utilisés pour gérer des rôles et fonctionnalités de Windows Server 2012 R2, Windows Server 2012, Windows Server 2008, Windows Server 2008 R2.

Vous devez utiliser :

• WindowsTH-RSAT_WS_1709-<Architecture>.msu quand vous gérez Windows Server 1709
• WindowsTH-RSAT_WS2016-<Architecture>.msu quand vous gérez Windows Server 2016 ou les versions antérieures.

Télécharger Remote Server Administration Tools for Windows 10

Microsoft a publié une mise à jour de son fichier de listing des paramétrages de stratégies de groupe (GPO) pour Windows 10 1709 (Fall Creators Update). On retrouve de nombreux nouveaux paramétrages dont :

• Pour Windows Defender Application Guard :
  • Allow data persistence for Windows Defender Application Guard
  • Allow auditing events in Windows Defender Application Guard
• Pour Microsoft Edge :
  • Always show the Books Library in Microsoft Edge
  • Provision Favorites
  • Prevent changes to Favorites on Microsoft Edge
• Pour Windows Defender Exploit Guard :
  • Use a common set of exploit protection settings
• Pour Windows Hello for Business :
  • Configure device unlock factors
  • Configure dynamic lock factors
  • Turn off smart card emulation
  • Allow enumeration of emulated smart card for all users
• Pour Windows Defender :
  • Prevent users and apps from accessing dangerous websites
  • Configure Controlled folder access
  • Configure Attack Surface Reduction rules
  • Exclude files and paths from Attack Surface Reduction Rules
  • Configure allowed applications
  • Configure protected folders
• Pour Windows Defender Security Center :
  • Hide the Virus and threat protection area
  • Hide the Firewall and network protection area
  • Hide the App and browser protection area
  • Prevent users from modifying settings
  • Hide the Device performance and health area
  • Hide the Family options area
  • Hide all notifications
  • Hide non-critical notifications
  • Configure customized notifications
  • Configure customized contact information
  • Specify contact company name
  • Specify contact phone number or Skype ID
  • Specify contact email address or Email ID
  • Specify contact website
• Pour Windows Update :
  • Allow updates to be downloaded automatically over metered connections
  • Do not allow update deferral policies to cause scans against Windows Update
• Pour OneDrive :
  • Prevent OneDrive from generating network traffic until the user signs in to OneDrive
• Pour Internet Explorer :
  • Hide the button (next to the New Tab button) that opens Microsoft Edge
• Pour MDM :
  • Auto MDM Enrollment with AAD Token
• Plus généralement :
  • Let Windows apps communicate with unpaired devices
  • Allow Online Tips
  • Limit Enhanced diagnostic data to the minimum required by Windows Analytics
  • Enable usage of FIDO devices to sign on
  • Handwriting Panel Default Mode Docked
  • Allow Message Service Cloud Sync
  • Specify global DNS
  • Enables Activity Feed
  • Allow publishing of User Activities
  • Turn off Power Throttling
  • Turn off Push To Install service
  • Allow Cloud Search
  • Allow downloading updates to the Disk Failure Prediction Model
  • Enable Device Health Attestation Monitoring and Reporting
  • Configure the system to clear the TPM if it is not in a ready state.
  • Set Per-App Cellular Access UI Visibility
  • Let Windows apps access cellular data

Télécharger Group Policy Settings Reference for Windows and Windows Server

Microsoft vient de publier les modèles d’administrations (ADMX, ADML) Active Directory pour Windows 10 1709 (Fall Creator Updates). Les modèles d’administrations pour Active Directory permettent d’ajouter les paramètres permettant de personnaliser les paramétrages et valeurs de registre dédiées à Windows 10.

Parmi les nouveautés par rapport à Windows 10 1703, on retrouve :

• Pour Windows Defender Application Guard :
  • Allow data persistence for Windows Defender Application Guard
  • Allow auditing events in Windows Defender Application Guard
• Pour Microsoft Edge :
  • Always show the Books Library in Microsoft Edge
  • Provision Favorites
  • Prevent changes to Favorites on Microsoft Edge
• Pour Windows Defender Exploit Guard :
  • Use a common set of exploit protection settings
• Pour Windows Hello for Business :
  • Configure device unlock factors
  • Configure dynamic lock factors
  • Turn off smart card emulation
  • Allow enumeration of emulated smart card for all users
• Pour Windows Defender :
  • Prevent users and apps from accessing dangerous websites
  • Configure Controlled folder access
  • Configure Attack Surface Reduction rules
  • Exclude files and paths from Attack Surface Reduction Rules
  • Configure allowed applications
  • Configure protected folders
• Pour Windows Defender Security Center :
  • Hide the Virus and threat protection area
  • Hide the Firewall and network protection area
  • Hide the App and browser protection area
  • Prevent users from modifying settings
  • Hide the Device performance and health area
  • Hide the Family options area
  • Hide all notifications
  • Hide non-critical notifications
  • Configure customized notifications
  • Configure customized contact information
  • Specify contact company name
  • Specify contact phone number or Skype ID
  • Specify contact email address or Email ID
  • Specify contact website
• Pour Windows Update :
  • Allow updates to be downloaded automatically over metered connections
  • Do not allow update deferral policies to cause scans against Windows Update
• Pour OneDrive :
  • Prevent OneDrive from generating network traffic until the user signs in to OneDrive
• Pour Internet Explorer :
  • Hide the button (next to the New Tab button) that opens Microsoft Edge
• Pour MDM :
  • Auto MDM Enrollment with AAD Token
• Plus généralement :
  • Let Windows apps communicate with unpaired devices
  • Allow Online Tips
  • Limit Enhanced diagnostic data to the minimum required by Windows Analytics
  • Enable usage of FIDO devices to sign on
  • Handwriting Panel Default Mode Docked
  • Allow Message Service Cloud Sync
  • Specify global DNS
  • Enables Activity Feed
  • Allow publishing of User Activities
  • Turn off Power Throttling
  • Turn off Push To Install service
  • Allow Cloud Search
  • Allow downloading updates to the Disk Failure Prediction Model
  • Enable Device Health Attestation Monitoring and Reporting
  • Configure the system to clear the TPM if it is not in a ready state.
  • Set Per-App Cellular Access UI Visibility
  • Let Windows apps access cellular data

Pour voir le listing complet des paramétrages, vous pouvez utiliser le fichier des différences.

Télécharger Administrative Templates (.admx) for Windows 10 Fall Creators Update (1709)