Microsoft vient de mettre à jour (6.7.31.0) des packs d’administration ou Management Packs (MP) SCOM pour superviser le composant Reporting Services (Native Mode) pour SQL Server 2008/2012/2014/2016. Il fonctionne avec SCOM 2012 SP1 ou plus. Cette nouvelle version apporte les éléments suivants :

• [Toutes versions] Ré-implémentation de la découverte seed d’instance en remplaçant le module géré avec un script PowerShell.
• [Toutes versions] Ré-implémentation de la découverte seed de déploiement avec l’ajout d’une stratégie de ressaie et l’amélioration de la gestion des erreurs.
• [Toutes versions] Mise à jour de la librairie de visualisation.

Télécharger :

• Microsoft System Center Management Pack for SQL Server 2008 Reporting Services (Native Mode)
• Microsoft System Center Management Pack for SQL Server 2012 Reporting Services (Native Mode)
• Microsoft System Center Management Pack for SQL Server 2014 Reporting Services (Native Mode)
• Microsoft System Center Management Pack for SQL Server 2016 Reporting Services (Native Mode)

Microsoft vient de mettre à jour (6.7.31.0) des packs d’administration ou Management Packs (MP) SCOM pour superviser le composant Analysis Services pour SQL Server 2008/2012/2014/2016.

Cette nouvelle version apporte les éléments suivants :

• [Toutes versions] Restriction sur la longueur des chaines de certaines propriétés de classe
• [Toutes versions] Mise à jour de la librairie de visualisation

Télécharger :

• Microsoft System Center Management Pack for SQL Server 2008 Analysis Services
• Microsoft System Center Management Pack for SQL Server 2012 Analysis Services
• Microsoft System Center Management Pack for SQL Server 2014 Analysis Services
• Microsoft System Center Management Pack for SQL Server 2016 Analysis Services

L’équipe Exchange vient de publier le 17ème Cumulative Update (CU17) (15.00.1320.004) pour Exchange Server 2013. Pour rappel, Microsoft a changé la stratégie d’assistance sur le cycle de vie d’Exchange ne nécessitant plus l’application des derniers Cumulative Update pour être supporté.

Il apporte les changements suivants :

• KB4024652 Repeated IMAP SEARCH BODY requests may not return newly delivered messages in Exchange Server
• KB4024651 The "MessageRetrievalMimeFormat" setting isn't honored for plain text-only email messages in IMAP in Exchange Server
• KB4024650 Emoji is displayed as question marks in iOS clients in an Exchange Server environment
• KB4024649 The Read or Unread flag isn't synchronized correctly after you turn off an ActiveSync device overnight in Exchange Server
• KB4024647 "The property is too long" error when you update the "Department" field of user mailbox in Exchange Server 2013
• KB4024646 "Insufficient access rights" error when you run setup.exe as member of "Delegated Setup" group in Exchange Server 2013

Il inclut aussi des mises à jour d’heure d’été.

Télécharger :

• Cumulative Update 17 for Exchange Server 2013 (KB4012114)
• Exchange Server 2013 CU17 UM Language Packs

L’équipe Exchange vient de publier le 6ème Cumulative Update (CU6) (15.01.1034.026) pour Exchange Server 2016. Microsoft a changé la stratégie d’assistance sur le cycle de vie d’Exchange ne nécessitant plus l’application des derniers Cumulative Update pour être supporté. En outre, Microsoft a amélioré le support de TLS 1.2 mais n’encourage pas pour le moment à changer l’environnement dans un mode TLS 1.2 uniquement.

Cette version inclut des mises à jour sur le schéma Active Directory.

Il apporte les changements suivants :

• KB4024658 The EAS web.config file is not updated on the CAFE server during a build-to-build upgrade
• KB4024654 POP/IMAP clients can't log on with NTLM when Alias and SamAccountName are different in Exchange Server 2016
• KB4024653 Active Monitoring probes fail when you use a new accepted domain as the default domain in Exchange Server 2016
• KB4024652 Repeated IMAP SEARCH BODY requests may not return newly delivered messages in Exchange Server
• KB4024651 The "MessageRetrievalMimeFormat" setting isn't honored for plain text-only email messages in IMAP in Exchange Server
• KB4024650 Emoji is displayed as question marks in iOS clients in an Exchange Server environment
• KB4024649 The Read or Unread flag isn't synchronized correctly after you turn off an ActiveSync device overnight in Exchange Server
• KB4024648 A new contact created in OWA may be merged into an existing contact on Exchange Server 2016
• KB4019534 Error when a mailbox name includes an umlaut in Exchange Server 2016 Cumulative Update 5

Note : Cette version inclut aussi des mises à jour d’heure d’été.

Plus d’informations sur : https://blogs.technet.microsoft.com/exchange/2017/06/27/released-june-2017-quarterly-exchange-updates/

Télécharger :

• Cumulative Update 6 for Exchange Server 2016 (KB4012108)
• Exchange Server 2016 CU6 UM Language Packs

Microsoft a publié les modèles d’administration (ADMX) des produits de Microsoft Desktop Optimization Pack (MDOP). Ils concernent :

• Microsoft Application Virtualization 5.0, 5.0 SP1, 5.0 SP2, 5.0 SP3, 5.1,
• Microsoft BitLocker Administration and Monitoring 1.0, 1.0 R1, 2.0, 2.0 SP1, 2.5, 2.5 SP1,
• Microsoft User Experience Virtualization 1.0, 1.0 SP1, 2.0, 2.1, 2.1 SP1.

Ils permettent :

• Administrer de manière centralisée les clients App-V 5.x, MBAM 1.0/2.x et UE-V 1.x/2.x
• Contrôler les différents paramétrages clients d’App-V 5.x, MBAM 1.0/2.x et UE-V 1.x/2.x

Parmi les nouveautés, on retrouve de nouveaux paramétrages pour les modèles UE-V 2.1 SP1 à destination d’Office 2016 et Office 365.

Télécharger Microsoft Desktop Optimization Pack Group Policy Administrative Templates

J’ai le plaisir de vous annoncer que Microsoft m’a renouvelé Microsoft MVP (Most Valuable Professional) pour l’année 2017/2018 dans l’Award Enterprise Mobility avec une spécialisation sur System Center Configuration Manager (SCCM) / ConfigMgr et Microsoft Intune et la partie OSD. Depuis un an, Microsoft met les bouchées doubles sur la gestion de Windows 10, l’enrichissement de Microsoft Intune pour l’ensemble des plateformes mais aussi le passage vers le nouveau portail Azure. En outre, Configuration Manager n’est pas laissé sur le côté puisque l’on retrouve de nombreuses nouveautés attendues de longues dates (Séquences de tâches chainées, Haute disponibilité du Serveur de site, etc.)

Je me permets de citer la lettre de Microsoft pour vous rappeler les grands principes des lauréats MVP :

« Il y a vingt ans, Microsoft saluait la contribution de 34 leaders de communautés qui en avaient aidé d'autres à tirer le meilleur parti de leurs technologies, en lançant le prix Microsoft MVP (Most Valuable Professional). À l'heure actuelle, plus de 4 000 MVP aident des dizaines de milliers de clients Microsoft à en savoir un peu plus chaque jour sur les technologies Microsoft dans plus de 90 pays.

 Le prix Microsoft MVP reconnait et remercie les membres exceptionnels des communautés techniques pour leur participation aux communautés et leur volonté d'aider les autres. Le programme MVP est avant tout constitué de passionnés de l'innovation qui sont à l'origine de son développement dynamique. »

C’est donc pour une sixième année que Microsoft renouvelle sa confiance afin de récompenser mes différentes activités au sein des communautés et ce afin de partager toujours plus et d’aider les différents utilisateurs.

Jean-Sébastien Duchêne

Parmi les récents ajouts sur Microsoft Intune, on retrouve une section dédiée à la gestion des mises à jour et mises à niveau (Upgrade) pour les périphériques Windows 10 gérés de manière moderne. Il est possible de créer des stratégies de distribution des mises à jour (Windows 10 Update Rings).

Pour cela, ouvrez le portail Microsoft Azure et naviguez dans le service Microsoft Intune – Software Updates – Windows 10 Update Rings. Faites Create pour créer une stratégie.

Vous pouvez donner un nom à la stratégie selon votre convention de nommage. Vous avez ensuite le choix entre les paramètres suivants :

• Branche de distribution (Servicing branch) : CBB ou CB
• L’activation des mises à jour pour les produits Microsoft
• L’activation des mises à jour pour les drivers Windows
• Le comportement de mise à jour automatique :
  • Notifier le téléchargement
  • Installer automatiquement lors de la période de maintenance
  • Installer et redémarrer automatiquement lors de la période de maintenance
  • Installer et redémarrer automatiquement à un intervalle programmé
  • Installer et redémarrer automatiquement sans contrôle de l’utilisateur final
• L’intervalle d’activité : heure de début et heure de fin
• La période d’ajournement des mises à jour de qualité (en jour)
• La période d’ajournement des mises à jour de fonctionnalités (en jours)
• Le mode de téléchargement pour la fonctionnalité Delivery Optimization (P2P) :
  • HTTP uniquement, pas de partage
  • HTTP avec partage derrière le même réseau NATé
  • HTTP avec partage à travers des groupes privés
  • HTTP avec partage sur Internet
  • Mode téléchargement simple sans partage
  • Mode Bypass

Une fois créée, vous devez assigner la stratégie à un groupe. Ciblez un groupe de périphérique Windows 10.

Une fois la stratégie créée et déployée, le panneau Overview vous offre la capacité de mettre en pause le déploiement des mises à jour de qualité et/ou de fonctionnalités.

Les fonctionnalités de suivi et de rapports de la fonctionnalité ne sont toujours pas publiées mais vous pourrez y accéder :

• Sur une stratégie via Monitor – Device/User status
• Sur la fonctionnalité Software Updates via Monitor – Per update ring deployment state.

Note : Le service Windows Analytics Update Compliance permet de suivre en détail les mises à jour appliquées sur des postes Windows 10.

Microsoft a publié une nouvelle Preview (6.0.191.0) de son outil System Center Updates Publisher. Ce dernier permet d’intégrer des catalogues de mises à jour tierces voir de créer vos propres catalogues et mises à jour. Cette version apporte principalement le support de Windows 10 et Windows Server 2016. En outre, elle signe la fin du support de Windows 7 et WSUS 3.x (Windows Server 2008 SP2, 2008 R2)

Cette version est compatible :

• Windows 10, Windows 8.1, Windows Server 2012 R2, Windows Server 2016
• System Center 2012 Configuration Manager Service Pack 2
• System Center 2012 R2 Configuration Manager Service Pack 1
• A supported version of System Center Configuration Manager current branch, System Center Configuration Manager long-term servicing branch version 1606

Télécharger System Center Updates Publisher Preview

Plus d'informations sur : https://blogs.technet.microsoft.com/enterprisemobility/2017/07/03/system-center-updates-publisher-june-2017-preview-is-now-available/

Microsoft a publié de nouvelles ressources permettant de déployer Remote Desktop Services de manière hautement disponible. Le principe revient à utiliser Microsoft Azure ou le service Azure Site Recovery (ASR) :

• Leverage multiple Azure data centers to ensure users can access your RDS deployment, even if one Azure data center goes down (geo-redundancy)
• Deploy Azure Site Recovery to provide failover for RDS components in site-to-site or site-to-Azure failovers

Microsoft a publié des guides de mise en œuvre pour son service Windows Analytics Upgrade Readiness. Ce service a pour intérêt de vous aider à migrer Windows 10. La solution est disponible au travers d’Operations Manager Suite (OMS). Ce service dans le Cloud en Public Preview, peut vous aider à évaluer la compatibilité matérielle, drivers et logiciels des périphériques. Il utilise le principe de télémétrie pour collecter de la donnée dans votre environnement. Les clients renvoient ainsi les données nécessaires au service dans le Cloud qui les traite afin de ressortir les informations adéquates.

J’ai déjà publié un article présentant le service et décrivant la mise en œuvre. Vous pouvez le consultant sur : Windows Upgrade Readiness : Un service pour vous aider à migrer vers Windows 10 !

Microsoft propose aussi les guides suivants :

• Introducing Windows Analytics Upgrade Readiness
• Setting up Upgrade Readiness
• Streamlining your Windows upgrades with Upgrade Readiness

Microsoft a publié un Showcase sur la façon dont Microsoft IT a migré Azure Rights Management (RMS) vers Azure Information Protection proposé par l’Enterprise Mobility Suite (EMS).  Microsoft utilisait Active Directory Rights Management Services depuis sa sortie en 2002. Microsoft a donc mis en place une transition sans perte de service notamment pour les applications métiers qui en dépendaient. Le document revient sur les grandes étapes :

• La migration des modèles
• L’installation du connecteur RMS
• La migration des applications
• La migration des utilisateurs
• La migration des partenaires
• La migration vers Azure Key Vault

On retrouve notamment les bonnes pratiques telles que :

• Garder les modèles statiques pendant la migration
• Comprendre et documenter l’environnement
• Introduire Azure Information Protection aux utilisateurs avec une migration transparente
• Protéger les comptes à forts privilèges.

Télécharger Protecting files in the cloud with Azure Information Protection

Lorsque vous utilisez Microsoft Intune en mode autonome, vous devez créer des groupes Azure AD pour cibler les déploiements d’applications, les stratégies de configuration/conformité ou les profils de configuration. Je vous propose un article qui regroupe des requêtes basées sur les attributs standards :

• Appartenance du périphérique (Personnel, D’entreprise)
• Plateforme

Pour créer les groupes, vous devez ouvrir le portail Azure et naviguez dans Azure Active Directory – Users and groups – All groups. Sélectionnez ensuite New group. Entrez le nom du périphérique et le type d’appartenance (Membership type) : Dynamic Device. Choisissez Dynamic device members pour créer la requête. Vous avez le choix entre deux modes :

• Règle simple qui permet de filtrer via un seul attribut
• Règle avancée qui permet de filtrer sur plusieurs attributs en utilisant des opérateurs logiques (-or ou -and).

Vous pouvez ensuite utiliser les règles avancées suivantes :

Les périphériques par appartenance

All Personal Devices
(device.deviceOwnership -contains "Personal")

All Corporate Devices
(device.deviceOwnership -contains "company")

Les périphériques personnels par plateforme

All Windows Personal Devices
(device.deviceOSType -contains "Windows") -and (device.deviceOwnership -contains "Personal")

All iOS Personal Devices
(device.deviceOSType -contains "iPhone" -Or device.deviceOSType -contains "iPad") -and (device.deviceOwnership -contains "Personal")

All Android Personal Devices
(device.deviceOSType -contains "Android") -and (device.deviceOwnership -contains "Personal")

Les périphériques d’entreprise par plateforme

All Windows Corporate Devices
(device.deviceOSType -contains "Windows") -and (device.deviceOwnership -contains "company")

All iOS Corporate Devices
(device.deviceOSType -contains "iPhone" -Or device.deviceOSType -contains "iPad")-and (device.deviceOwnership -contains "company")

All iOS Supervised Devices
(device.deviceOSType -contains "iPhone" -Or device.deviceOSType -Contains "iPad") -and (device.enrollmentProfileName -ne null)

All Android Corporate Devices
(device.deviceOSType -contains "Android") -and (device.deviceOwnership -contains "company")

All Android Enterprise Fully Managed Devices
(device.deviceOSType -eq "AndroidEnterprise") -and (device.deviceOwnership -eq "Company")

All Android Enterprise Work Profile Device
(device.deviceOSType -eq "AndroidForWork") -and (device.deviceOwnership -eq "Personal")

Les périphériques par plateforme

All Windows 10 Devices
(device.deviceOSType -contains "Windows") -and (device.deviceOSVersion -startsWith "10.")

All Windows Devices
(device.deviceOSType -contains "Windows")

All iOS Devices
(device.deviceOSType -contains "iPhone" -Or device.deviceOSType -contains "iPad")

All Android Devices
(device.deviceOSType -contains "Android")

Microsoft a publié un correctif concernant un problème qui touche la Cloud Management Gateway (CMG) lorsque vous utilisez System Center Configuration Manager 1702 avec l’Update Rollup. Lorsque vous créez un Cloud Management Gateway, le provisionnement ne se termine pas. L’état reste affiché en Provisioning.

Si vous regardez l’état du service Cloud dans le portail Azure, vous pouvez observer les erreurs suivantes :

Waiting for role to start... Unhandled Exception: Could not load file or assembly 'interop.COMAdmin, Version=5.0.8498.1711, Culture=neutral, PublicKeyToken=31bf3856ad364e35' or one of its dependencies. The located assembly's manifest definition does not match the assembly reference. (Exception from HRESULT: 0x80131040) at Microsoft.ConfigurationManager.AzureRoles.ProxyService.WebRole.ConfigureBGBServer() at Microsoft.ConfigurationManager.AzureRoles.ProxyService.WebRole.OnStart() at Microsoft.WindowsAzure.ServiceRuntime.RoleEnvironment.InitializeRoleInternal(RoleType roleTypeEnum) at Microsoft.WindowsAzure.ServiceRuntime.Implementation.Loader.RoleRuntimeBridge.b__0() at System.Threading.ExecutionContext.RunInternal(ExecutionContext executionContext, ContextCallback callback, Object state, Boolean preserveSyncCtx) at System.Threading.ExecutionContext.Run(ExecutionContext executionContext, ContextCallback callback, Object state, Boolean preserveSyncCtx) at System.Threading.ExecutionContext.Run(ExecutionContext executionContext, ContextCallback callback, Object state) at System.Threading.ThreadHelper.ThreadStart() [date time] Last exit time: date time]. Last exit code: 0.

Le correctif n’est pas disponible via le mécanisme de mise à niveau dans la console (Update & Servicing), vous devez installer le correctif à la main. La procédure est la suivante :

1. Vérifiez que le fichier Cloudproxyservice.cab a été copié sur le rôle Service Connection Point distant.
2. Supprimez les Cloud Management Gateway en échec qui ont été créé après l’application du Rollup.
3. Pour les anciennes CMG, exécutez le script SQL suivant sur la base de données de site pour mettre à jour les CMG : EXEC dbo.spInsertAzureCloudServiceUpgradeTask N'CloudProxyService'

Télécharger le correctif KB4033015

Source : KB4033015 : Provisioning not completed when creating a Cloud Management Gateway in System Center Configuration Manager version 1702

Microsoft vient de publier une mise à jour (3.0.337) de Mouse and Keyboard Center. Anciennement IntelliPoint IntelliType Pro, cet outil permet de personnaliser la façon dont vous travaillez avec votre PC et vos périphériques Clavier et Souris Microsoft.

Télécharger Mouse and Keyboard Center 3.0

Shitanshu Verma (Microsoft IT) a publié un billet décrivant l’organisation de l’équipe en charge de System Center Configuration Manager et Microsoft Intune dans le Service Informatique de Microsoft. L’équipe a une approche DevOps, c’est-à-dire qu’ils sont proches des équipes de développement de Configuration Manager et Microsoft Intune.

Voici la répartition de l’équipe en 4 silos :

• Security & Compliance Management (2 FTEs + 4 Contingent staff)
  • Monthly Security Patching and Anti malware definition update
  • Mobile Device Security Policy management
  • Conditional Access Policies management
  • Windows Hello for Business cert and policy delivery
  • Windows Information Protection Policy management (formerly EDP)
  • Internal Test Pass – Deployment and validation for pre- release security update
  • Device resource Access – Wi-Fi certs, VPN Profile deployment
  • Mobile Application Management (MAM) Policies
• Application & OS Deployment/Upgrade Management (2 FTEs + 4 Contingent staff)
  • Application Packaging and Deployment
  • Windows 10 Operating System Upgrades
  • Mobile device App publishing automation/workflow
  • Setting Management
  • Company Portal & Software Center related services
• Client/Device Health & Infrastructure Management (2 FTEs + 6 Contingent staff)
  • ConfigMgr Client health and reach
  • Device Health and Enrollments
  • Access mgmt. like RBAC etc.
  • ConfigMgr Infra health and uptime
  • Access mgmt. like RBAC etc.
  • Infra capacity and performance
  • ConfigMgr Infra Incident, Change, Problem mgmt.
• SQL administration/Reporting and Asset Mgmt. (1 FTEs + 1 Contingent staff)
  • Custom CM Report and Power BI Dashboard/Reports
  • Hardware and Software inventory extension mgmt.
  • SQL Server administration – maintenance jobs (DBA)
• Program and Service Management (1 FTE)
  • Project and service management
  • Service catalog and SLA review
  • Sprint Master

Plus d’informations sur : https://blogs.technet.microsoft.com/system_center_in_action/2017/06/03/configmgrintune-service-engineering-team-structure-and-silos/

Microsoft vient de publier une mise à jour des outils Surface à destination des ITs pour déployer, gérer et sécuriser les périphériques Surface dans l’entreprise. On retrouve notamment :

• Cisco EAP Supplicant Installer
• Surface Data Eraser v3.2.36.0 pour effacer de manière sécurisée les données des Surface.
• Surface Deployment Accelerator v2.0.8.0 permet de facilement déployer une image Windows sur des Surface.
• Surface Diagnostic Toolkit v1.1.50.0 fournit des outils pour tester le matériel.
• Surface Dock Updater v2.1.15.0 permet de mettre à jour le Dock.
• Surface UEFI Configurator v1.0.74.0
• Surface UEFI Manager v2.2.21.0
• Surface WOL

Télécharger Surface Tools for IT

L’équipe Ask the Core a publié deux articles qui permet de décrire pas à pas comment déployer des périphériques Surface Studio en utilisant une clé USB ou Microsoft Deployment Toolkit (MDT). Si vous êtes novice avec les technologies de déploiement, ces deux articles constituent une bonne source d’information.

Lire :

• Deploy Windows from USB drive to Surface Studio
• Deploy Surface Studio using MDT

Wei H Lim (MSFT) a publié un tableau de bord qui peut être utilisé pour le service Operations Management Suite (OMS). Il fournit une vue résumée de l’ensemble de l’état de la consommation du quota de données et comment la limite d’upload journalière du Tier gratuit est dispersé au travers des services ou atteint. Le tier gratuit autorise jusqu’à 500 MB de données par jour avec 7 jours de rétention.

Télécharger Sample OMS Free Tier Data Consumption Tracker Dashboard

A l’occasion de la conférence Infiltrate 2017, l’équipe Cloud and Enterprise Red présent comment appliquer des techniques d’attaques réseaux traditionnelles et comment les adresser dans Microsoft Azure. On peut voir des attaques types sur Azure et les mécanismes qui peuvent être mis en œuvre pour limiter ces dernières.

Microsoft a publié des améliorations pour la fonctionnalité Work Folders à destination des systèmes iOS, Android et Windows 10 1703. Pour rappel, les Work Folders permettent aux utilisateurs d’accéder à leurs fichiers/documents de manière sécurisée en dehors de l’entreprise quel que soit le périphérique utilisé. On pourrait l’apparenter à une solution comme OneDrive en mode On-Premises.

On retrouve notamment :

• Support d’Azure Active Directory Application Proxy pour permettre l’accès sécurisé aux fichiers à distance.
• Amélioration de l’expérience SSO (moins de fenêtres d’authentification) lors de l’utilisation d’Azure Active Directory Application Proxy avec le support de Token Broker.
• Des paramétrages de stratégies de groupe pour gérer l’emplacement du répertoire Work Folders sur les périphériques Windows.

Plus d’informations sur : https://blogs.technet.microsoft.com/filecab/2017/05/31/work-folders-updates-for-windows-10-version-1703-android-and-ios/

Microsoft a publié une un article dans la base de connaissances résumant les exclusions et exceptions antivirales applicables à System Center Configuration Manager Current Branch. L’équipe des PFE System Center a aussi publié un très bon billet dans ce sens.

On retrouve notamment :

Exclusions Core

• %allusersprofile%\NTUser.pol 
• %windir%\Security\database\*.chk 
• %windir%\Security\database\*.edb 
• %windir%\Security\database\*.jrs 
• %windir%\Security\database\*.log 
• %windir%\Security\database\*.sdb 
• %windir%\SoftwareDistribution\Datastore 
• %windir%\SoftwareDistribution\Download 
• %windir%\system32\GroupPolicy\registry.pol
• %windir%\system32\GroupPolicy\Machine\registry.pol“ 
• %windir%\system32\GroupPolicy\User\registry.pol“ 

 Exclusions Core d’installation SCCM (Toutes Versions)

• <InstallDrive>\Program Files\Microsoft Configuration Manager\Client
• <InstallDrive>\Program Files\Microsoft Configuration Manager\ClientUpgrade 
• <InstallDrive>\Program Files\Microsoft Configuration Manager\Inboxes\*.*  
• <InstallDrive>\Program Files\Microsoft Configuration Manager\Install.map 
• <InstallDrive>\Program Files\Microsoft Configuration Manager\Logs
• <InstallDrive>\Program Files\SMS_CCM\Logs 
• <InstallDrive>\Program Files\SMS_CCM\ServiceData 

 Exclusions Core d’installation SCCM (Versions Current Branch)

• Applicable à 1511+
  • <InstallDrive>\Program Files\Microsoft Configuration Manager\AdminUIContentPayload
  • <InstallDrive>\Program Files\Microsoft Configuration Manager\AdminUIContentStaging
  • <InstallDrive>\Program Files\Microsoft Configuration Manager\cd.latest
  • <InstallDrive>\Program Files\Microsoft Configuration Manager\CMUStaging 
  • <InstallDrive>\Program Files\Microsoft Configuration Manager\EasySetupPayload 
• Applicable à 1602+
  • <InstallDrive>\Program Files\Microsoft Configuration Manager\CMUClient 
• Applicable à 1610+
  • <InstallDrive>\Program Files\Microsoft Configuration Manager\PilotingUpgrade
  • <InstallDrive>\Program Files\Microsoft Configuration Manager\RLAStaging
• Applicable à 1702+
  • <InstallDrive>\Program Files\Microsoft Configuration Manager\CMProviderLog

Exclusions de la librairie de contenu SCCM

• <InstallDrive>\SMSPKG 
• <InstallDrive>\SMSPKGC$ 
• <InstallDrive>\SMSPKGE$ 
• <InstallDrive>\SMSPKGSIG 
• <InstallDrive>\SMSSIG$ 
• <InstallDrive>\SCCMContentLib 
• <InstallDrive>\<ConfigMgr Backup Directory> 
  • Ex. D:\SCCMBackup 
• <InstallDrive>\<ConfigMgr OSD Images> 
  • Ex. D:\SCCMImages 
• <InstallDrive>\<ConfigMgr Package Source Files> 
  • Ex. D:\SCCMSource

Exclusions d’imaging SCCM

• %SystemDrive%\_SMSTaskSequence 
• <X:>\ConfigMgr_OfflineImageServicing 
  • Incluant des sous-réseaux
• %windir%\TEMP\BootImages 
  • Incluant des sous-réseaux

Exclusions des processus SCCM

• Smsexec.exe 
• Ccmexec.exe 
• CmRcService.exe 
• Sitecomp.exe 
• Smswriter.exe 
• Smssqlbbkup.exe 
• Wmiprvse.exe 

Exclusions SQL Server

• SQL Server Processes Exclusions 
  • SQLServer.exe 
    • <InstallDrive>\Microsoft SQL Server\<SQL Version>. <InstanceName>\MSSQL\Binn\SQLServr.exe 
  • ReportingServicesService.exe 
    • <InstallDrive>\Microsoft SQL Server\<SQL Version>.<InstanceName>\Reporting Services\ReportServer\Bin\ReportingServicesService.exe 
  • MSMDSrv.exe 
    • <InstallDrive>\Microsoft SQL Server\<SQL Version>.<InstanceName>\OLAP\Bin\MSMDSrv.exe 
• SQL Server data files      
  • *.mdf 
  • *.ldf 
  • *.ndf 
• SQL Server backup files  
  • *.bak 
  • *.trn 
• SQL Audit files 
  • *.sqlaudit 
  • *.sql 
• Full-Text catalog files  
  • <InstallDrive>\Microsoft SQL Server\<SQL Version>.<InstanceName>\MSSQL\FTData 
• Analysis Services backup files 
  • <InstallDrive>\Microsoft SQL Server\MSSQL.X\OLAP\Backup 
  • <InstallDrive>\Microsoft SQL Server\MSSQL.X\OLAP\Log 
• Si vous utilisez un logiciel antivirus sur un cluster, assurez-vous d'inclure ces emplacements.
  • <Quorum Drive> (Ex. Q:\) 
  • %windir%\Cluster 

Exclusions IIS

• * .ida 
• %SystemDrive%\inetpub\temp\IIS Temporary Compressed Files 

Exclusions WSUS

• *.cab  
• %ProgramFiles%\Update Services\LogFiles\WSUSTemp
• <InstallDrive>\WSUS\UpdateServicesDBFiles 
• <InstallDrive>\WSUS\WSUSContent 

Lire la KB Recommended antivirus exclusions for Configuration Manager 2012 and Current Branch Site Servers, Site Systems, and Clients

Plus d’informations sur : https://blogs.technet.microsoft.com/systemcenterpfe/2017/05/24/configuration-manager-current-branch-antivirus-update/

Dirk Brinkmann (MSFT) a publié une fonction PowerShell pour System Center Operations Manager 2012 et 2016 permettant de convertir le Management Pack en rapports HTML. On peut comparer ça aux outils proposés par Silect (MP Studio) ou les rapports SQL que j’ai publié, il permet d’exporter toutes les workflows (découvertes, moniteurs, règles, etc.) accompagnés des seuils par défaut ainsi que les overrides associés.

Télécharger PS function to convert SCOM 2012/2016 MP's into readable HTML reports

Microsoft s’est associé avec Lookout pour fournir une solution de sécurité visant à détecter les menaces sur les périphériques mobiles. Cette dernière s’intègre à Microsoft Intune pour remonter le niveau de menaces et l’utiliser notamment pour l’accès conditionnel aux ressources de l’entreprise.

Lookout propose une solution prédictive basée sur des patterns. La solution dispose de plus de 100 millions de sondes (comprendre périphériques personnels ou d’entreprise) qui remontent des informations sur les applications, les systèmes, les menaces. Les données remontées sont ensuite traitées via un mécanisme de Big Data et des experts qui analysent ces données. Lookout sépare les attaques en trois grandes catégories :

• Système d’exploitation avec le Jailbreak/Root, les vulnérabilités exploitées du système (Pegasus, Trident, etc.), les fuites de données.
• Application avec les applications malicieuses, à risque, vulnérables et les fuites de données.
• Réseau avec les interceptions de données (Man-In-The-Middle) et les configurations malicieuses.

Aujourd’hui la solution est disponible pour les périphériques iOS et Android.

Le but de cette série d’articles est de faire un tour d’horizon de l’intégration entre Microsoft Intune et Lookout avec les phases de mise en œuvre et d’exploitation.

Si vous n’avez pas vu les parties précédentes, je vous invite à lire :

• Comment configurer la solution
• Déploiement de l’application Lookout

Aperçu de la console d’opérations Lookout

Une fois la solution configurée et l’application déployée, nous pouvons passer à l’exploitation et son utilisation dans l’accès conditionnel. Dans un premier temps, vous pouvez vous connecter à la console Lookout qui vous offre différents espaces agrégeant les données renvoyées par les périphériques.

Le nœud Dashboard offre une vision d’ensemble avec :

• Le nombre de périphériques déployés et les états associés (activés, en attente, désactivés).
• Les périphériques à risque en fonction des niveaux : Faible, Moyen et Haut risque.
• Les menaces actives par niveau de risque et catégories (Applications, Fichiers, Réseau, Système)
• L’utilisation du licensing Premium donne accès à une analyse des applications avec le pourcentage d’accès aux données, d’accès aux services Cloud, le pourcentage de malware, et le pourcentage d’applications qui effectuent des transferts de données. Ces informations sont basées par extrapolation sur une base de connaissances localisée chez Lookout.

Depuis cet espace, on retrouve différentes sous-parties permettant d’obtenir plus de détails comme par exemple le tableau des détections de menaces par classification :

Un espace Threats regroupe les différents menaces découvertes classifiables en fonction des éléments suivants :

• Niveau de risque
• Etat (Actif, Résolu, Ignoré)
• Système d’exploitation
• Type de menaces (Applications, Fichiers, Réseau, Système d’exploitation)
• Classifications (Malware, Adware, etc.)

En sélectionnant une menace en particulier, vous retrouvez différentes informations comme l’état, le risque, le type, l’utilisateur, le temps avant résolution, du détail plus précis sur le fichier et la menace ainsi que l’historique associé (détection, etc.). Vous pouvez voir l’analyse des binaires qui a pu être réalisé par Lookout. Cet espace permet aussi d’agir sur l’état de la menace.

L’espace Devices donne une vision des périphériques avec une vision plus précise par périphérique. Outre les informations sur les menaces, on retrouve des éléments sur le périphérique en lui-même :

• Fabriquant
• Modèle
• Système d’exploitation
• Identifiant du périphérique dans Lookout
• Package de l’application Lookout
• Solution d’administration utilisée
• Date de dernière connexion.

La partie Policy permet de définir un niveau de sévérité personnalisé pour les différentes menaces en fonction de leur classification (Trojet, Worm, Virus, Exploit, etc.)

Aperçu des remontées d’informations dans Microsoft Intune

Vous pouvez observer l’état de conformité d’un périphérique de plusieurs façons. Dans le portail Intune, vous pouvez d’abord naviguer dans Devices – All Devices. Vous voyez l’état de conformité pour la liste de tous les périphériques. Cette même information est disponible sur le périphérique en lui-même dans les parties Overview ou Hardware :

Vous pouvez aussi voir le détail de la conformité dans Device Compliance pour chacune des stratégies.

Configuration d’une stratégie d’accès conditionnel dans Microsoft Intune

L’intérêt de l’intégration de Lookout avec Microsoft Intune est l’utilisation des informations de menaces pour l’utilisation lors de l’accès conditionnel aux ressources de l’entreprise telles qu’Office 365.

Vous pouvez pour cela créer une stratégie d’accès conditionnel via le nouveau portail Microsoft Intune en naviguant dans Device compliance – Manage - Policies. La création de la stratégie (Create Policy) offre un assistant où vous pouvez paramétrer la sous partie Device Health. Un paramétrage Require the device to be at or under the Mobile Threat Level en définissant le niveau de menaces maximal autorisé parmi :

• Not Configured
• Secured
• Low
• Medium
• High

Je vous recommande la création de stratégies pour iOS, Android et/ou Android for Work afin de couvrir toutes les plateformes.

Une fois créée, vous devez déployer les stratégies de conformité via la partie Assignements :

Les éléments Device/User/Per-setting status vous permettent de suivre l’état de déploiement/application de la stratégie.

Kevin Holman (MSFT) a publié un Management Pack permettant de suivre l’état des agents dans System Center Operations Manager (SCOM). On retrouve ainsi :

• Une découverte de la version de l’agent, l’Update Rollup appliqué, les Management Group, les versions de PowerShell, la version du système, le Management Server principal et la liste des failovers.
• Des tâches pour exécuter des tests d’événements, un redémarrage de service, un nettoyage et redémarrage de l’Health Service, l’ajout ou la suppression d’un Management Group.

Plus d’informations sur son billet : Agent Management Pack – Making a SCOM Admin’s life a little easier

Voici le récapitulatif des annonces faites par Microsoft concernant sa plateforme Microsoft Azure.

Parmi les annonces, on retrouve notamment :

General

• Publication de la version 2 (Preview) de l’outil d’import/export des services Microsoft Azure. Cet outil permet de préparer les disques que vous délivrez au Datacenter Azure. Il permet aussi de déparer les blobs et fichiers corrompus, manquants ou en conflit.
• Preview limitée Storage Service Encryption with Customer Managed Keys permettant le chiffrement Azure Storage Service avec les clés gérées par les clients en utilisant Azure Key Vault.
• Microsoft propose un événement virtuel appelée Azure OpenDev le 21 juin.
• Microsoft annonce de nouvelles passerelles VPN Azure. La passerelle VPN basique existante n’est pas changée et offre une performance de 80-100MB avec un SLA à 99,9%. On retrouve 3 passerelles : VpnGw1 (650 MB), VpnGw2 (1GB), et VpnGw3 (1,25 GB).
• Microsoft joint la fondation Cloud Foundry comme membre d’or. Outre cette annonce, Microsoft étend l’intégration de Cloud Foundry avec Azure. Ceci inclut l’intégration backend avec Azure Database (PostgreSQL et MySQL) et le support du Cloud Broker pour SQL Satabase, Service Bus et Cosmos DB.
• Migration de la plateforme Azure Security Center pour une intégration plus importante avec l’Operations Management Suite. Microsoft va déployer le Microsoft Monitoring Agent sur toutes les machines virtuelles. Pendant une période, les deux agents fonctionneront en parallèle.
• Disponibilité Générale d'Azure Traffic Manager Fast Failover permettant de basculer à un intervalle de temps équivalent à 10 secondes.

IaaS

• Private Preview de la solution de gestion des mises à jour pour les machines virtuelles Azure. Cette solution permet d’obtenir le statut rapide des mises à jour disponibles, d’initier le processus d’installation des mises à jour requises et de voir le résultat du déploiement. La solution est supportée pour Windows Server 2012 et plus ainsi que RedHat Linux 6 & 7, Ubuntu Server 12.04 LTS, 14.04 LTS, 15.10, et 16.04. Notez que la solution est basée sur celle présente dans OMS.
• Disponibilité Générale d’Azure Storage Service Encryption pour les disques gérés (Managed Disks). Cette fonctionnalité fournit du chiffrement au repos afin de protéger les données. La fonctionnalité est activée par défaut pour tous les disques, instantanés, et images dans toutes les régions publiques. A partir du 10 juin, tous les nouveaux disques/images/instantanés et toutes les données écrites sur des disques gérés existants seront automatiquement chiffrés.
• Disponibilité Générale de nouvelles tailles de disque avec des vitesses de 250 MBps et 7500 IOPS. On retrouve ainsi les tailles P40 (2TB), P50 (4TB), S40 (2TB), S50 (4TB).

Azure Storage

• L'option Secure transfert required est disponible sur les comptes de stockage Azure pour permettre de forcer toutes les demandes à travers une connexion sécurisée.

Enterprise Mobility + Security

• Intégration de Microsoft Intune et TeamViewer pour Android afin d’offrir des outils de prise en main à distance comme le chat, le redémarrage à distance, la vidéo, l’annotation d’écran, le transfert de fichiers.
• Disponibilité Générale des consoles d’administration d’accès conditionnel (Conditional Access) et Microsoft Intune au travers du nouveau portail Microsoft Azure.
• Preview de la fonctionnalité « Do Not track » d’Azure Information Protection. Cette fonctionnalité permet à l’entreprise de configurer une stratégie pour un groupe d’utilisateurs pour lesquels les documents ne doivent pas être traqués pour des raisons de respect de la vie privée ou de conformité.

Azure Active Directory

• L’accès conditionnel supporte maintenant Microsoft Teams et le portail Azure. L’administrateur peut définir des conditions d’accès (emplacement, périphérique, etc.) au portail Microsoft pour les administrateurs mais aussi à Microsoft Teams pour les utilisateurs. Ceci impact tous les points de gestion Azure (Le portail Azure classique, le nouveau portail Azure, l’API Service Management, le fournisseur ARM, et PowerShell).
• Support de l’accès à Work Folders via Azure AD Application proxy pour Android, iOS et Windows 10 1703.
• Preview de Microsoft Azure Active Directory Connect Provisioning Agent. Cet agent de provisionnement s’intègre avec l’API Workday Human Resources afin de provisionner des comptes utilisateurs dans Active Directory.
• Disponibilité Générale de Ping Access pour Azure Active DIrectory pour fournir un accès aux applications On-Premises aux utilisateurs Azure AD qui ne supportent pas les standards SAML, OAuth 2.0, Kerberos. Les clients Azure AD Premium peuvent connecter plus de 20 applications On-Premises sans surcout.

Office 365

• Disponibilité Générale de Microsoft Stream, un service permettant aux utilisateurs de partager des vidéos. Outre ces fonctionnalités de base, on retrouve la détection faciale, la translation audio en texte, etc.

Operations Management Suite

• Log Analytics Service Map ajoute les groupes d’ordinateurs.
• Changement du mode de licence pour les solutions Security and Compliance :
  • Les solutions Security and Compliance déployées après le 19 juin 2017, la limite de données journalière ne sera pas appliquée aux données collectées par ces solutions. Vous pouvez utiliser ces solutions gratuitement pendant les 60 premiers jours
  • SI vous supprimez les solutions avant la fin de la période d’essai 60 jours, vous ne serez pas facturés. Si vous continuez d’utiliser la solution après la période, vous serez facturé avec un mode par nœud.

Azure Analysis Service

• Extension du support pour Azure Active Directory pour inclure Azure AD B2B Collaboration. Le but est de pouvoir inviter des utilisateurs à consulter des éléments dans votre tenant.
• Nouveaux exemples de modèle pour Azure Analysis Service.

Azure Government

• Les services Azure Government sont disponible au travers du programme Cloud Solution Provider (CSP).

Autres services

• Support de nouvelles langues (Russe, Anglais Britannique, Mexicain) pour Azure Media Indexer v2.
• Des nouveautés pour les outils HDInsight pour IntelliJ. On retrouve la simplification de la création de projet Scala, l’amélioration du dépannage Spark à distance, l’intégration run as et debug as.
• Disponibilité Générale de Draft, un outl permettant le développement d’applications s’exécutant sur des clusters Kubernetes par Azure Container Service.
• Fin du service Azure BizTalk Services à partir du 31 Mai 2018. Les capacités ont été intégrées dans Azure Logic Apps et Azure App Service Hybrid Connections.
• Disponibilité Générale de nouvelles fonctionnalités pour Power BI Desktop.
• Migration de Power BI Embedded vers le service Power BI.
• Disponibilité Générale de nouveaux packs de contenu pour Power BI : Microsoft Dynamics 365—Social Engagement, Microsoft Azure Consumption Insights, TyGraph pour Yammer 3.0, Easy Projects, Microsoft Dynamics 365 pour Financials, Webtrends pour SharePoint, et Transit IQ.
• Azure Event Hubs propose une nouvelle fonctionnalité Auto-Inflate permettant d’accroitre automatiquement les Throughput Units (TUs).
• Azure Media Services supporte l’authentification par Azure Active Directory (AAD). On retrouve une nouvelle tuile de gestion dans le portail Azure pour simplifier l’usage des authentifications. Cette annonce permet de bénéficier de RBAC. Dans le même temps, Microsoft annonce la dépréciation de l’authentification ACS pour dans 12 mois!
• Publication de la version 1.1 des librairies de gestion Azure pour Java avec l’ajout du support de Cosmos DB, Azure Container Service and Registry, et Active Directory Graph.
• Bright Cluster Manager s'intègre maintenant avec Azure HPC.