Des vidéos ont été publiées sur Channel 9 pour montrer les nouvelles fonctionnalités de System Center 2016 Virtual Machine Manager :

• Deploy Network Controller.
• Setup hyper-converged cluster.
• Create & set Port ACLs.
• Cluster Rolling Upgrade.
• Increase memory of a running VM.
• Create & set Storage QoS.
• Bare Metal Deployment of Nano Server.
• Creating a Shielded VM using System Center 2016 Virtual Machine Manager (VMM).

Microsoft vient de publier un nouveau pack d’administration ou Management Pack (MP) (1.4.4.0)  pour Microsoft Azure Resource Manager. Ce Management Pack vient remplacer les précédents pour Windows Azure. System Center Operations Manager (SCOM) fait partie de la gamme System Center, il propose une supervision souple et évolutive de l’exploitation au niveau de toute l’entreprise, réduisant la complexité liée à l’administration d’un environnement informatique, et diminuant ainsi le coût d’exploitation. Ce logiciel permet une gestion complète des événements, des contrôles proactifs et des alertes, et assure une gestion des services de bout en bout. Il établit des analyses de tendance et des rapports, et contient une base de connaissances sur les applications et le système.

Ce management pack fournit les fonctionnalités suivantes :

• Découverte des services : Application Insights, Automation, Backup, Biztalk, Cloud Service, Data Factory, DocumentDB, Logic App, Media Services, Mobile Services, Networks, Notification Hubs, Operational Insights, Redis Cache, SCheduler, Search, Service Bus, SQL Azure, Storage Accounts, Traffic Manager, Virtual Machines, et Websites
• Collecte de performance pour : Cloud Services, Data Factory, DocumentDB, Mobile Services, Redis Cache, SQL Azure, Virtual Machines, Websites

Cette version comprend :

• Création automatique du Service Principal Name
• Mise à jour et redesign des assistants Add Monitoring et Add Subscription avec notamment la correction des métriques dupliquées pour les bases de données SQL et la correction de l’édition de la liste d’exclusion.
• Support de l’authentification à facteurs multiples
• Le délai de livraison des alertes Azure Application Insights est réduit
• Correction d’un problème avec les machines virtuelles qui n’ont pas la propriété OS Version peuplée
• Correction d’un problème dans SCOM où la tâche peut être complétée avec succès alors que le statut de sorti est en échec.
• Amélioration des performances de l’assistant Add Monitoring
• Correction des noms d’état opérationnels pour “Virtual Machine Turn Off Monitor”
• Mise à jour de la liste des endpoints REST pour les instances chinoises
• Pour le mode SPN, les types RDFE sont supprimés de la liste des types de service.
• Suppression du prérequis où les administrateurs SCOM avaient besoin d’entrer le mot de passe lors de la création/édition de configuration de supervision.
• Correction d’un problème : les alertes ne sont pas délivrées si l’entité découverte a une alerte dans le passée (avant que SCOM découvre l’entité)
• Correction d’un problème : les alertes Azure Application Insights n’ont pas le lien vers le portail Azure.
• Ajout d’une fonctionnalité : si une nouvelle machine virtuelle est découverte ou si une existante est supprimée, une alerte correspondante est affichée dans la console.
• Réduction de la latence pour la génération d’événements lorsqu’une condition survient dans une machine virtuelle Azure.
• Réduction de la latence pour les machines virtuelles provisionnées dans Azure afin de s’afficher dans SCOM.
• Implémentation d’une tâche pour requêter l’inventaire de toutes les machines virtuelles.
• Mise à jour des informations d’affichage pour correspondre aux changements récents.

Notez que ce pack d’administration nécessite System Center 2012 Service Pack 1 (SP1) – Operations Manager, System Center 2012 R2 Operations Manager ou System Center 2016 Operations Manager

Télécharger Microsoft System Center 2016 Management Pack for Microsoft Azure

Microsoft vient de publier l’Update Rollup 2 pour System Center 2016 Operations Manager (KB3209591). Avant d’appliquer cet UR, lisez bien les articles de la base de connaissances associés. Vous pouvez les déployer manuellement en récupérant les CAB ou via Windows Update/WSUS.

Celui-ci corrige le problème suivant :

• Lorsque vous utilisez l’Assistant Unix Process Monitoring Template (ajout d’un nouveau modèle) pour surveiller les processus sur les serveurs UNIX, les données surveillées ne sont pas insérées dans la base de données.
• Lorsqu’un Management Server est supprimé du resource pool All Management Server, le processus Monitoring Host n’actualise pas le TypeSpaceCache.
• Quand des alertes sont fermées à partir de la vue Alerts après une recherche, les alertes fermées apparaissent toujours dans la vue lorsque la recherche est nettoyée.
• Lorsque vous appuyez sur Ctrl + C pour copier une alerte dans la vue Alert et que vous appuyez sur Ctrl + V pour la coller dans le bloc-notes, l’heure de Création est en heure UTC, et non l’heure locale.
• Les groupes disparaissent de la vue de groupe après que les avoir ajoutées à une Application distribuée.
• Les notifications de messagerie instantanée à partir d’Operations Manager vers Skype échouent lorsqu’une exception incorrecte provoque l’exception NullReferenceException dans la méthode SipNotificationTransport.Send .
• Lorsque l’option de mode de maintenance pour les moniteurs dépendants est définie sur « Ignore » et le groupe (est composé du serveur auquel ce moniteur dépendant est associé) est placée en mode Maintenance, l’état des modifications du moniteur change à critique et n’ignore pas le mode maintenance.
• En raison d’un scénario rare de calcul incorrect de la configuration et des overrides, certaines entités gérées peuvent passer dans un état non surveillé. Ce comportement est accompagné d’événements 1215 qui sont écrits dans le journal Operations Manager.
• Les tâches de restauration sur le moniteur « Computer Not Reachable » génèrent des ouvertures de session en échec sur les Agents de SCOM qui ne font pas partie du même domaine que les groupes d’administration.
• Le workflow ManagementGroupCollectionAlertsCountRule échoue et génère une alerte « Power Shell Script failed to run ».
• La cmdlet Get-SCOMGroup échoue lorsqu’elle doit lister des milliers de groupes dans Operations Manager.
• Les propriétés d’une unité d’organisation pour les ordinateurs qui exécutent Windows ne sont pas découverts ou remplies. Cette découverte fait partie du System Center Internal Library MP. Après la mise à jour, les propriétés de l’unité d’organisation seront découvert pour tous les ordinateurs qui exécutent Windows.
• Lorsque l’agent Operations Manager Health Service démarre, et l’agent est configuré pour l’intégration d’Active Directory, si l’agent ne peut pas contacter Active Directory, il s’eteint immédiatement et arrête d’essayer de se connecter et à obtenir la stratégie à partir d’Active Directory.

Les problèmes suivants sont corrigés dans le Management Pack UNIX et Linux :

• SHA1 est déconseillée et les certificats SHA256 sont désormais pris en charge sur le Management Server qui est utilisé pour signer le certificat de l’OMI Unix/Linux.
• OMI ne fonctionne pas sur des serveurs Linux configurés pour la conformité FIPS.
• Les compteurs de performance Avg. Physical disk sec/transfer ne s’affichent pas pour les ordinateurs Hewlett Packard.
• OMI affiche des informations erronées de mémoire sur les ordinateurs Solaris 10.
• Les performances de la carte réseau ne sont pas affichés pour les plates-formes SLES 12 x64 dans la Console Operations Manager.
• Il n’est pas possible de découvrir les systèmes de fichiers sur les ordinateurs HP-UX 11.31 IA-64 avec plus de 128 disques. Il prenait en charge 128 VG. Maintenant la prise en charge est étendue à 256 VG.
• La supervision ne peut pas démarrer sur certaines applications JBoss, car la découverte du serveur d’application JBoss définit de manière incorrecte le chemin d’accès de disque pour le serveur JBoss.

Télécharger Update Rollup 2 for System Center 2016 Operations Manager

Microsoft vient de publier une mise à jour (version 7.1.10148.0) du Management Pack (MP) pour Windows Server 2012 R2 Message Queuing 6.3. Pour rappel, System Center Operations Manager (SCOM) fait partie de la gamme System Center, il propose une supervision souple et évolutive de l’exploitation au niveau de toute l’entreprise, réduisant la complexité liée à l’administration d’un environnement informatique, et diminuant ainsi le coût d’exploitation. Ce logiciel permet une gestion complète des événements, des contrôles proactifs et des alertes, et assure une gestion des services de bout en bout. Il établit des analyses de tendance et des rapports, et contient une base de connaissances sur les applications et le système.

Lisez le guide pour implémenter et obtenir plus d’information sur ce qui est supervisé par défaut ou ce qui doit être activé via des overrides.

Télécharger System Center 2012 Management Pack for Microsoft Windows Server 2012 R2 Message Queuing 6.3

Une des grandes forces de la suite Entreprise Mobility + Security (EMS) est sa capacité à restreindre l’accès à Office 365 aux périphériques enregistrés et conformes à la solution d’administration. Cette fonctionnalité s’appelle l’accès conditionnel. Elle fournit une brique essentielle à la sécurisation des services de l’entreprise.

Auparavant, l’accès conditionnel se configurait dans le portail Microsoft Intune. Avec le passage du service Intune dans le portail Azure. L’accès conditionnel des applications SaaS (dont Office 365) est gérée par Azure Active Directory directement. L’accès conditionnel d’une infrastructure Exchange On-Premises se fait toujours via Microsoft Intune.

Notez que l’accès conditionnel des applications SaaS requiert une licence Azure Active Directory Premium. Si vous avez souscrit à des abonnements Microsoft Intune seul (Intune Direct A) alors cette fonctionnalité n’est pas disponible.

Pour configurer l’accès conditionnel d’une infrastructure Exchange On-Premises, ouvrez le portail Azure et naviguez dans More Services > Intune. Ceci ouvre un tableau de bord où vous pouvez cliquer sur Conditional Access. Vous devez ensuite installer et configurer le connecteur pour pouvoir configurer l’accès conditionnel à votre infrastructure Exchange On-Premises :

Note : Nous ne rentrerons pas plus dans le détail de la configuration de l’accès conditionnel pour Exchange On-Prem.

Pour configurer l’accès conditionnel à des applications SaaS telles qu’Office 365, ouvrez le portail Azure et naviguez dans More Services > Azure Active Directory. Choisissez Conditional Access puis Add.

Note : L’administrateur qui configure les règles d’accès conditionnel doit avoir une licence EMS E3 ou Azure Active Directory Premium assignée.

Pour procéder à la création, vous devez d’abord choisir à quels utilisateurs vous souhaitez attribuer la règle :

• Aucun
• Tous les utilisateurs
• Des utilisateurs ou des groupes spécifiques.

Vous pouvez aussi exclure des utilisateurs de cette règle (par exemple lorsque vous choisissez de l’appliquer à tous les utilisateurs).

La partie Cloud apps vous permet de choisir les applications SaaS auxquelles vous souhaitez appliquer la règle :

• Aucune application
• Toutes les applications Cloud gérées au travers d’Azure Active Directory
• Des applications Cloud spécifique

Vous pouvez aussi exclure certaines applications lorsque vous choisissez par exemple d’appliquer la règle à toutes les applications Cloud.

Ensuite, vous pouvez choisir les conditions d’application de la règle. Ceci ne constitue pas une obligation. Si vous ne spécifiez pas de conditions, la règle s’applique pour les applications définies dans tous les cas. Sinon, vous pouvez jouer sur :

• Le niveau de risque de la connexion. Le niveau est jugé par Azure Active Directory lorsque l’utilisateur se connecte par exemple d’un emplacement inconnu ou depuis une adresse IP malicieuse, etc.

• Les plateformes (Android, iOS, Windows Phone, Windows). Vous pouvez cibler toutes les plateformes, des plateformes spécifiques ou en exclure certaines.

• L’emplacement en choisissant d’appliquer quel que soit l’emplacement ou uniquement depuis des adresses IP connues.

• Les applications clientes utilisées pour les applications SaaS compatibles (par exemple Office 365) en sélectionnant si cela s’applique au navigateur, aux applications mobiles et desktop.

Enfin, vous devez terminer en choisissant les contrôles à appliquer dans les conditions définies par la règle. Vous pouvez choisir de :

• Bloquer l’accès
• Autoriser l’accès en demandant une authentification à facteurs multiples, que le périphérique soit conforme ou joint au domaine.

Lorsque plusieurs contrôles sont spécifiés, vous pouvez choisir de forcer l’ensemble des contrôles ou de n’en demander qu’un seul.

Note : N’oubliez pas d’activer la stratégie pour l’application de cette dernière.

L’ensemble de ces paramètres et conditions vous permettent d’adapter vos stratégies en fonction des scénarios d’usages. On peut ainsi imaginer les scénarios suivants :

• Demander à ce que le périphérique soit conforme ou joint au domaine lorsqu’il est sur des adresses IP connues.
• Demander à ce que le périphérique soit conforme ou joint au domaine et associer une authentification à facteurs multiples sur d’autres emplacements que ceux connus ou lorsque le périphérique effectue une connexion à risque.
• Demander à ce que le périphérique soit conforme ou joint au domaine quel que soit l’emplacement pour certains VIP sans contraintes supplémentaires.

Microsoft a annoncé la Public Preview d’un service cloud de suivi des mises à jour et mises à niveau pour Windows 10. Update Compliance est gratuit et proposé au travers d’Operations Management Suite (OMS) et de son module Log Analytics. Il s’adresse à la gestion moderne des périphériques Windows 10 qui utilisent notamment Windows Update for Business (WUfB) ou Microsoft Update.

La solution donne des informations sur :

• L’état d’installation pour les mises à jour mensuelles de qualité et les mises à jour de fonctionnalité de Windows 10.
• L’état de déploiement des mises à jour existant avec la prévisualisation des mises à jour qui vont être déployées.
• Les périphériques qui nécessitent une attention pour résoudre des problèmes.

Update Compliance utilise les données de télémétrie renvoyées par les clients Windows 10. Vous devez pour cela renseigner un identifiant (CommercialID) permettant au service d’identifier les données des clients de l’entreprise dans toutes les données de télémétrie.
Je vous prépare un article prochainement sur le sujet.

Microsoft a regroupé Update Compliance et Upgrade Readiness (précédemment Upgrade Analytics) dans un bundle appelé Windows Analytics.

Source : https://blogs.technet.microsoft.com/upgradeanalytics/2017/02/10/announcing-public-preview-of-windows-analytics-update-compliance/

Microsoft a publié une Community Technology Preview 1.3 de la prochaine version de SQL Server pour Windows et Linux. Cette version est directement dédiée au Cloud pour permettre de développer des applications qui seront portées sur tous les systèmes via Docker. La version finale est attendue courant 2017. On retrouvera les principales fonctionnalités de SQL Server dont les innovations en matière de cloud hybride comme Stretch Database.

La CTP 1.3 apporte notamment l’amélioration des fonctionnalités de Haute Disponibilité et de Restauration après désastre avec l’arrivée des groupes de disponibilité Always On sur Linux. Cette arrivée permet l’utilisation de serveurs Windows et Linux au travers du même groupe de disponibilité distribué.

En outre, on retrouve :

• Full text search est disponible sur toutes les distributions Linux
• Reprendre la reconstruction en ligne des indexes afin de reprendre une interruption de la construction des indexes ou séparer les reconstructions à travers plusieurs fenêtres de maintenance.
• Support des stratégies de rétention des tables temporels.
• Amélioration indirecte des performances de Checkpoint.
• Paramétrage Minimum Replica Commit Availability Groups pour configurer un nombre minimum de réplicas requis pour valider une transaction.
• Sur SQL pour Windows, l’encodage des hints dans SQL Server Analysis Services.

De la documentation :

• Installer sur Red Hat Enterprise Linux
• Installer sur Ubuntu Linux
• Installer sur SLES v12 SP2
• SQL Server on Linux: How? Introduction

Télécharger :

• SQL Server vNext Public Preview pour Windows

L’équipe Office vient de faire les différentes annonces relatives aux nouveautés introduites en février pour Office 365 et sa suite. On retrouve principalement des nouveautés pour la sécurité avec :

• Office 365 Secure Score est un nouvel outil d’analyse permettant de vérifier le score de sécurité des clients vis-à-vis des configurations de sécurité recommandées.
• Private Preview d’Office 365 Threat Intelligence : Ce dernier est un service qui utilise toutes les données proposées au travers de Microsoft intelligent Security Graph pour fournir des mécanismes permettant de se prémunir des attaques. Il fournit des informations sur les brèches et s’intègre à Exchange Online Protection et Advanced Threat Protection. La disponibilité générale est attendue pour ce trimestre dans le plan Office 365 E5.
• Preview d’Office 365 Advanced Data Governance permet d’utiliser du Machine Learning pour assurer la gouvernance des données. Le service permet de garder une main sur les données importante tout en se débarrassant des données qui n’ont pas d’intérêt (données personnelles des employés ayant quitté l’entreprise, etc.). La disponibilité générale est attendue pour ce trimestre dans le plan Office 365 E5.

Plus d’informations sur : https://blogs.office.com/2017/02/10/new-office-365-capabilities-helps-you-proactively-manage-security-and-compliance-risk/

Microsoft intègre son service Microsoft Intune au portail Microsoft Azure (Ibiza). Cette intégration a de nombreux avantages comme fournir une expérience consistante à travers tous les services mais aussi fournir les APIs adéquates (Graph API, etc.) permettant l’automatisation de certaines tâches. En outre, le nouveau portail permet une gestion plus adéquate des droits de délégation avec notamment l’utilisation du modèle Role Based Administration (RBAC).

Le contrôle d'accès basé sur des rôles a été proposé en 1992 par Ferraiolo et Kuhn. Ce modèle a ensuite été validé en 2004 par le National Institute of Standards and Technology (NIST). Microsoft a commencé à introduire ce modèle dans l'API (Application Programming Interface) Authorization Manager de Windows XP et Windows Server 2003 SP1. Plus tard Exchange Server 2010 apporte un modèle complet permettant de gérer les différentes autorisations d'accès au service de messagerie.

Le modèle Role-Based Administration est défini par les éléments suivants :

• Les utilisateurs administratifs peuvent être des comptes utilisateurs ou des groupes Azure Active Directory.
• Les rôles de sécurité donnent accès aux fonctionnalités et fonctions comme la gestion des applications, les actions à distance… Chaque rôle a des permissions spécifiques sur certains types d’objets définis au travers de classes. On retrouve les classes suivantes : DeviceConfigurations, ManagedApps, ManagedDevices, MobileApps, Organization, RemoteTasks, Roles, TelecomExpenses, TermsAndConditions. Cette liste est amenée à grossir en fonction des ajouts de fonctionnalités. Parmi les permissions disponibles, on retrouve : lecture, modification, suppression, création …
• L'étendue de sécurité (Scope) définit les opérations qu'un administrateur peut opérer sur des classes d'objets sécurisées. Elle permet de restreindre l’accès aux groupes de périphériques ou d’utilisateurs.

Pour accéder à la délégation, ouvrez le portail Azure et naviguez dans More Services > Intune. Ceci ouvre un tableau de bord où vous pouvez cliquer sur Access Control :

Vous y retrouvez les différents rôles proposés. Microsoft Intune propose 4 rôles par défaut :

• Configuration Policy Manager permet la création et le déploiement de stratégies de configuration des périphériques.
• Help Desk Operator offre des permissions plus générales applicables aux opérateurs du HelpDesk afin d’assigner des configurations de périphérique et d’applications, , de gérer les périphériques, de déployer des applications, d’exécuter des tâches à distance (localisation, redémarrage, verrouillage, effacement, etc.) ou de voir la consommation du forfait.
• Application Manager focalise sur le déploiement d’applications et la gestion des configurations d’applications.
• Read Only Operator est un rôle qui offre une vision globale en lecture seule sur l’ensemble des éléments relatifs à la gestion dans Microsoft Intune.

Pour assigner un utilisateur à un rôle par défaut, il vous suffit de cliquer sur ce rôle (par exemple Configuration Policy Manager) et sélectionner Assignements.

Vous devez ensuite spécifier les membres correspondant aux utilisateurs administratifs associés à ce droit de sécurité. Ainsi que l’étendue (scope) sur laquelle les utilisateurs administratifs auront les droits. L’étendue peut correspondre à des groupes d’utilisateurs ou de périphériques.

Pour créer ces groupes, vous devez passer par Azure Active Directory. Vous pouvez accéder à cette partie en recherchant dans More Services ou via le tableau de bord Intune en sélectionnant Manage Users.

Choisissez All groups puis Add. Vous devez ensuite donner un nom et choisir le type d’appartenance parmi :

• Assigned qui permet de choisir les utilisateurs directement.
• Dynamic Device permettant de créer un groupe dynamique de périphériques sur la base d’attributs (domaine, attribut rooted, etc.) 
• Dynamic User pour créer un groupe dynamique d’utilisateurs sur la base de certains attributs (UPN, etc.)

Une fois les droits attribués, les utilisateurs ont accès aux espaces correspondant au rôle de sécurité et reçoit un message d’accès refusé pour les autres espaces :

Outre les 4 rôles de sécurité par défaut, il est possible de créer des rôles personnalisés selon vos besoins. Prenez le cas d’utilisateurs qui peuvent uniquement mettre à jour des stratégies de configuration. Ils se voit par contre dans l’impossibilité de les créer, les supprimer ou les déployer. Pour ce faire, naviguez dans la partie Access Control et choisissez Add. Entrez un nom de rôle et cliquez sur permissions. Choisissez ensuite les permissions concernant les différentes classes comme par exemple Read et Update pour Device Configurations.

Cliquez sur Ok à deux reprises puis Create pour procéder à la création. Il ne vous reste plus qu’à assigner le rôle de la même façon que nous avons le faire précédemment.

Voici le récapitulatif des annonces faites par Microsoft concernant sa plateforme Microsoft Azure.

Parmi les annonces, on retrouve notamment :

Azure IaaS

• Disponibilité Générale des Managed Disks. Cette fonctionnalité simplifie la gestion du stockage. Vous pouvez attacher des disques de données à différentes instances de machines virtuelles. Ceci peut être notamment très utile lorsque vous souhaitez mettre en place une élasticité du service via Azure VM scale sets.
• Possibilité de mettre plusieurs adresses IP (jusqu’à 250) par carte réseau.
• Les VM scale sets peuvent maintenant supporter jusqu’à 1000 machines virtuelles.
• Public Preview du VNet Peering à travers plusieurs abonnements.
• Baisse des prix pour les machines virtuelles séries F et A1 Basic avec une baisse moyenne respective de 24% et 61%.
• Baisse prochaine des prix pour les machines de séries D.

Azure Active Directory

• Collaboration avec SailPoint afin de donner une intégration entre Azure Active Directory Premium et SailPoint pour un provisionnement complet et fin et une gouvernance du cycle de vie pour les applications On-Premises et Cloud.
• Public Preview de la protection des solutions VPN On-Premises via l’authentification Azure AD etl’authentification à facteurs multiples basée dans le Cloud (Azure MFA). Microsoft propose pour cela l’extension de votre serveur Network Policy Server (NPS) pour Azure MFA.
• Nouveautés pour Azure Active Directory B2C :
  • Support de Single-page app (SPA) : Ceci est une application web qui permet de changer une seule page HTML et dynamiquement mettre à jour la page lorsque l’utilisateur interagi avec l’application.
  • Des APIs permettant de créer des rapports sur l’usage et l’activités sont maintenant disponibles.
  • Il devient possible maintenant de désactiver la procédure de vérification de l’email lors de l’inscription de l’utilisateur.

Enterprise Mobility + Security (EMS)

• Microsoft a unifié l’application RMS Sharing et le client Azure Information Protection. L’application RMS Sharing reste supportée jusqu’au 31 Janvier 2018.
• Disponibilité Générale des fonctionnalités Azure Information Protection suivantes :
  • Les stratégies peuvent être ciblées à des groupes utilisateurs.
  • Un nouveau client Windows unifié combine à la fois l’application RMS Sharing et Azure Information Protection.
  • Une mise à jour des viewers pour les fichiers protégés incluant notamment les PDFs protégés et téléchargés depuis SharePoint.
  • Classification manuelle via un clic droit des fichiers non-Office.
  • Classification en masse des données au repos en utilisant PowerShell
  • Capacité de partager à un groupe de personnes (ex : finance@contoso.com)
  • Capacité de partager à n’importe quel utilisateur de l’organisation (ex : tous les utilisateurs @contoso.com)

Operations Management Suite

• Microsoft a annoncé la Public Preview d’un service gratuit dans le cloud de suivi des mises à jour et mises à niveau pour Windows 10. Update Compliance donne les informations :
  • Etat d’installation pour les mises à jour mensuelles de qualité et les mises à jour de fonctionnalité de Windows 10.
  • Informations sur l’état de déploiement des mises à jour existant avec la prévisualisation des mises à jour qui vont être déployées.
  • Informations des périphériques qui nécessitent une attention pour résoudre des problèmes.

Update Compliance utilise les données de télémétrie renvoyées par les clients Windows 10. Vous devez pour cela renseigner un identifiant (CommercialID) permettant au service d’identifier les données des clients de l’entreprise dans toutes les données de télémétrie.
Microsoft a regroupé Update Compliance et Upgrade Readiness (précédemment Upgrade Analytics) dans un bundle appelé Windows Analytics.

• Public Preview d'un pack de solution proposé par Comtrade pour superviser Nutanix.

Azure Storage

• Preview de Storage Service Encryption (SSE) pour Azure File Storage. Ce service permet de chiffrer automatiquement le contenu.

• Baisse des prix du stockage à chaud (-26%) ou à froid (-38%) de blob.

Azure SQL

• Azure SQL Database Threat Detection sera en disponibilité générale en Avril 2017. La solution est actuellement en Preview et fournit une couche supplémentaire de sécurité construite directement dans Azure SQL Database. Le Machine Learning est utilisé pour superviser et détecter les activités suspicieuses.
• Support de l'import ou de l'export de données depuis Azure Data Lake Store dans Azure SQL Data Warehouse en utilisant des tables externes.

Azure Backup

• Azure Backup permet maintenant la restauration instantanée de fichiers et de dossiers depuis le Cloud. Il n’est plus nécessaire de provisionner d’infrastructure additionnelle. La fonctionnalité fournit un instantané d’un point de restauration qui peut être facilement montable comme un ou plusieurs volume de restauration iSCSI.
• Supervision centralisée : Les entreprises peuvent maintenant superviser les éléments On-Premises sauvegardé dans Azure Backup Server depuis le portail Microsoft Azure.
• Disponibilité dans deux nouvelles régions avec notamment : Canada, UK, et West US2.

Azure Site Recovery

• Disponibilité d’Azure Site Recovery (ASR) dans la région UK.

Azure Security Center

• Azure Security Center peut maintenant automatiquement découvrir et recommander des stratégies de liste blanche pour des groupes de machines virtuelles. Il peut ensuite appliquer ces paramétrages aux machines virtuelles Windows via AppLocker.
• Accès réseau aux machines virtuelles en mode Just-In-Time. Cette capacité permet l’ouverture temporaire de ports spécifiques (RDP, SSH, etc.) aux machines virtuelles exécutées dans le Cloud.
• Azure Security Center permet la détection de certaines menaces comme le Brute Force, les Botnet et DDOS en sorti.
• Azure Security Center permet l’analyse comportemental des serveurs et machines virtuelles pour mieux détecter lorsque ces dernières ont été compromises par un attaquant.

Autres services

• Il devient possible d’ajouter de la recherche vers des collections DocumentDB avec un bouton cliquable.
• Support des domaines HTTPS personnalisés avec Azure CDN depuis Verizon.
• Ruby est maintenant supporté pour les Web Apps sur Linux.

C’est à l’occasion du Microsoft Ignite Australie que Microsoft a annoncé le lancement d’un programme Windows Insider dédié aux entreprises et professionnels de l’informatique.  Ce programme est véritablement dédié aux entreprises et aux IT Pros qui veulent évaluer Windows 10 et le processus de déploiement associé.

Voici l’annonce : https://blogs.windows.com/windowsexperience/2017/02/15/making-windows-insider-program-better-pro-business-customers/#28JeUqcLdDzQhRgI.97

S’enregistrer sur le programme WIP4Biz ou Windows Insider Program 4 B(iz)usiness

Microsoft a publié l’agent System Center Operations Manager 2016 pour Nano Server sur Windows Server 2016. L’agent ou sa mise à jour peut être poussé par la console d’administration ou installé via le script PowerShell associé au package CAB.
Télécharger :

• Microsoft System Center Operations Manager Nano Agent cab file for RTM
• Microsoft System Center Operations Manager Nano Agent cab file for UR1

Microsoft a publié un outil permettant de tester la compatibilité des bandes de sauvegarde par System Center Data Protection Manager.

Lire la documentation : Verify tape library compatibility.

Télécharger DPM Tape Library Compatibility Test Tool

Microsoft a publié un Showcase sur la façon dont Microsoft IT a adopté Windows as a Service. L’arrivée de Windows 10 demande de revoir les processus de par la fréquence et la vélocité des mises à jour.

On apprend ainsi qu’un « pilote » de 1000 à 5000 utilisateurs font partie du programme Windows Insider. Le déploiement généralisé (tous les utilisateurs) est fait en utilisant la version Curent Branch.  Microsoft a aussi revu son processus de revue des applications et de test de compatibilité afin qu’il soit réalisé en 3 semaines !

Le service Informatique utilise pour cela les technologies proposées par Microsoft telles que Windows Update, Windows Update for Business, System Center Configuration Manager et Windows Upgrade Services. Concernant l’usage de Windows Update for Business, Microsoft a implémenté la technologie Delivery Optimization (P2P) afin d’optimiser les transferts de manière à ce que 76% du trafic soit fait entre les PCs (le reste étant dirigé vers Internet).

Lire Adopting Windows as a service at Microsoft

L’équipe Ask PFE a publié un très bon article résumant comment s’affranchir des certificats auto signés utilisés par le protocole Remote Desktop. L’article revient sur les principaux points nécessaires comme le déploiement de certificats, la suppression de la régénération du certificat autosigné, etc.

Plus d’informations sur : Removing Self-Signed RDP Certificates

Microsoft vient d’annoncer la mise à jour du client Work Folders sur iOS. Cette version apporte les éléments suivants :

• Il devient possible d’uploader des fichiers
• Vous pouvez prendre des photos et écrire des notes directement depuis l’application Work Folders.
• Correction de bugs qui améliore la stabilité.

Télécharger Work Folders

Source : https://blogs.technet.microsoft.com/filecab/2017/02/13/7735/

Microsoft a publié le Management Pack (MP) pour superviser Storage Spaces Direct sur Windows Server 2016 en version 1.0.40.0. Ce Management Pack requiert System Center Operations Manager 2016 ou plus. Pour rappel, System Center Operations Manager (SCOM) fait partie de la gamme System Center, il propose une supervision souple et évolutive de l’exploitation au niveau de toute l’entreprise, réduisant la complexité liée à l’administration d’un environnement informatique, et diminuant ainsi le coût d’exploitation. Ce logiciel permet une gestion complète des événements, des contrôles proactifs et des alertes, et assure une gestion des services de bout en bout. Il établit des analyses de tendance et des rapports, et contient une base de connaissances sur les applications et le système.

Il faudra l’édition Windows Server 2016 Datacenter avec la KB3216755.

Lisez le guide pour obtenir les informations nécessaires à l’implémentation de ce Management Pack.

Télécharger Microsoft System Center 2016 Management Pack for Windows Storage Spaces Direct

Microsoft vient de publier une nouvelle version (10.0.6.0) le pack d’administration ou Management Pack (MP) SCOM pour la fonctionnalité de Cluster. Cette version a complétement été réécrite pour l’arrivée de Windows Server 2016. Elle supporte Windows Server 2016 uniquement et ne fonctionne qu’avec System Center 2012 R2 Operations Manager et plus.
Pour rappel, System Center Operations Manager (SCOM) fait partie de la gamme System Center, il propose une supervision souple et évolutive de l’exploitation au niveau de toute l’entreprise, réduisant la complexité liée à l’administration d’un environnement informatique, et diminuant ainsi le coût d’exploitation. Ce logiciel permet une gestion complète des événements, des contrôles proactifs et des alertes, et assure une gestion des services de bout en bout. Il établit des analyses de tendance et des rapports, et contient une base de connaissances sur les applications et le système.

Cette version apporte les changements suivants :

• Correction d’un problème où la vue affiche des cluster 2012 et 2012 R2 en même temps
• Modification de la logique de supervision des groupes de stockage de disponibilité
• Correction d’un problème de découverte des interfaces réseau lorsque le nom de l’interface réseau cluster a nom plus long de 40 caractères avec un tiret.
• Correction de l’exécution des tâches Cluster Resource qui échoue si cluster.exe n’est pas installé.
• Correction n’un problème de découverte des interfaces réseau cluster sur Windows Server 2008 Core.
• Correction d’un problème où les interfaces réseau ne sont pas découvertes sur Windows Server 2016 Standard.
• Correction d’un problème où les interfaces réseau ne sont pas découvertes sur Windows Server 2016 Nano.
• Les tâches ne renvoient rien sur Windows Server 2016.
• Correction des tâches Pause Node et Resume Node qui n’ont pas les résultats attendus.
• Ajout du support des tâches pour les groupes de ressource avec un nom contenant un symbole WMI réservé.
• Correction d’un problème où les ressources de cluster ne sont pas découvertes si le cluster a le rôle serveur de fichiers.
• Correction d’un problème sur les groupes de ressource cluster qui ne peuvent être déplacer sur un autre nœud à cause d’un échec de la tâche Move Group. La logique a été changée.
• Correction d’un problème de la tâche de diagnostique Check Cluster Group qui ne fonctionne pas sur les plateformes Windows Server 2003 ou 2008 R2 sans PowerShell et sur les versions supérieures où les cmdlets PowerShell sont présentes.
• Correction d’un problème si le nom d’objet cluster contient des symboles WMI réservé, la supervision des objets cluster ne fonctionne pas.
• Ajout du support des ressources avec un nom supérieur à 4000 caractères.
• Correction d’un problème sur plusieurs tâches de ressources qui ne fonctionne pas si cluster.exe n’est pas installé

Lisez le guide associé au Management Pack pour mettre en œuvre la supervision et activer les règles nécessaires.

Télécharger Microsoft System Center Management Pack for Windows Server Cluster 2016

Vous n’avez pas eu de mises à jour de sécurité à déployer ce mois-ci ? C’est parce que Microsoft a décidé de reporter le Patch Tuesday à la dernière minute. Cette décision a eu lieu par la découverte d’un problème de dernière minute qui impactait certains clients. Microsoft n’a pas réussi à résoudre le problème dans les temps et reporter les mises à jour de ce mois-ci sur le mois prochain (14 Mars 2017).

Source : https://blogs.technet.microsoft.com/msrc/2017/02/14/february-2017-security-update-release/

Microsoft vient de publier l’Update Rollup 12 pour System Center 2012 R2 Data Protection Manager (KB3209592). Avant d’appliquer cet UR, lisez bien les articles de la base de connaissances associés. Vous pouvez les déployer manuellement en récupérant les CAB ou via Windows Update/WSUS.

Cette mise à jour inclut les améliorations sur la sécurité des sauvegardes Azure avec notamment :

• Azure Backup peut maintenant être configuré pour conserver 14 jours à partir de la date de suppression. Ceci permet d’éviter les attaques et facilite la restauration.
• La vérification de la plage minimum de rétention aide à s’assurer qu’au moins un point de restauration est disponible après l’attaque.
• Azure Backup peut maintenant être configuré pour demander une authentification basée sur le portail Azure pour les opérations important qui affecte les sauvegardes et les restaurations de données de l’entreprise.
• Vous pouvez configurer Azure Backup peut maintenant être configuré pour recevoir des notifications et alertes de sécurité quand vous exécutez des opérations importantes qui affectent les plans de protection de données.

Celui-ci corrige le problème suivant :

• Les restaurations de DPM échouent avec l’erreur ID 3111 en raison de problèmes dans le fichier de catalogue.
• Le Client DPM est affiché sous la forme d’une croix rouge « X » dans la zone de notification sur des Clients qui ont installé l’Anniversary Update (Windows 10 1607).
• Le Client DPM se bloque lorsque le Client est mis à niveau vers l’Anniversary Update (Windows 10 1607).
• Les sauvegardes de l’agent échouent sur les serveurs 32 bits après l’installation de la mise à jour cumulative 11.
• DPM se bloque lorsque vous essayez d’activer la protection de VMware pour un serveur vCenter qui a déjà été protégé par DPM.
• DPM ne peut pas sauvegarder les machines virtuelles avec des caractères d’autres langues dans le nom de la machine virtuelle VMWare.
• Les sauvegardes et restaurations d’Azure échouent lorsque la source de données contient des fichiers tels que thumbs.db.
• Le serveur DPM se bloque lors de la récupération à partir des sauvegardes en ligne avec un chemin de fichier long.
• La protection automatique des bases de données SQL Server est activée pour les sauvegardes sur Azure en plus des sauvegardes sur disque.

Télécharger Update Rollup 12 for System Center 2012 R2 Data Protection Manager

Avec l’arrivée de Microsoft Intune dans le portail Azure (Ibiza), Microsoft intègre de nouvelles capacités. Une des plus attendues est la restriction de l’enregistrement pour certaines plateformes et la capacité de bloquer les périphériques personnels ou le scénario Bring Your Own Device (BYOD). Ces restrictions s’appliquent avant même l’enregistrement du périphérique.

Notez qu’à date d’écriture de cet article, la migration des tenants Microsoft Intune est toujours en cours. Il se peut que vous n’ayez pas accès aux fonctionnalités du nouveau portail.

Commencez par ouvrir le portail Microsoft Azure avec un compte disposant des droits d’administration sur le service Microsoft Intune. Dans More Services, recherchez Intune (vous pouvez l’ajouter aux favoris). Vous arrivez sur le tableau de bord Intune :

Cliquez sur Enroll devices puis Enrollment Restrictions. Vous arrivez sur une page où vous pouvez à la fois définir les restrictions par type de périphériques et les restrictions en matière de limitation. A l’heure actuelle, il n’est possible de définir ces restrictions uniquement pour l’ensemble des utilisateurs.

En cliquant sur la restriction par type de périphériques, vous pouvez éditer la règle par défaut et notamment les plateformes autorisées à être enregistrées parmi Android, iOS, Mac OS X, Windows et Windows Mobile.

La partie Plaform Configurations permet de définir le comportement pour les périphériques personnels dans des scénarios BYOD. Vous pouvez à ce jour bloquer l’enregistrement des périphériques personnels iOS. Les autres plateformes devraient arrivées dans les prochains mois.

Ainsi en activant, le blocage des périphériques personnels, vous devez préenregistrer les périphériques dans Microsoft Intune. Cette opération se fait toujours via le panneau Enroll Devices > Corporate Device Identifiers.

Vous pouvez ensuite cliquer sur Add pour importer des types d’identifiants basés sur le numéro IMEI. Vous pouvez ensuite charger un fichier sous la forme identifiant,détail où l’identifiant est le numéro IMEI et détail peut être le nom du périphérique ou l’utilisateur associé.

En outre, tous les périphériques enregistrés via le programme Apple Device Enrollment Program (DEP) sont par défaut tagués en périphériques d’entreprise et autorisés à être enregistrés.
Notez que sur Configuration Manager en mode hybride, il est aussi possible d’utiliser le numéro de série.

Parmi les restrictions d’enregistrement, vous pouvez gérer la limite du nombre de périphériques qu’un utilisateur peut enregistrer dans Microsoft Intune.  Cela fait partie de la deuxième catégorie de restriction : Device Limit Restriction. Vous pouvez aller d’un seul périphérique à 15 périphériques. Cette limite est basée sur la licence EMS/Intune fixant le nombre maximum de périphériques pouvant être enregistré par un utilisateur standard.

Microsoft vient de publier une nouvelle version (10.0.8.0) le pack d’administration ou Management Pack (MP) SCOM pour Active Directory. Cette version a complétement été réécrite pour l’arrivée de Windows Server 2016. Elle supporte Windows Server 2012, Windows Server 2012 R2, Windows Server 2016 et ne fonctionne qu’avec System Center 2012 R2 Operations Manager et plus.
Pour rappel, System Center Operations Manager (SCOM) fait partie de la gamme System Center, il propose une supervision souple et évolutive de l’exploitation au niveau de toute l’entreprise, réduisant la complexité liée à l’administration d’un environnement informatique, et diminuant ainsi le coût d’exploitation. Ce logiciel permet une gestion complète des événements, des contrôles proactifs et des alertes, et assure une gestion des services de bout en bout. Il établit des analyses de tendance et des rapports, et contient une base de connaissances sur les applications et le système.

La refonte du Management Pack a changé les éléments suivants :

• Il n’y a plus de règles qui n’ont pas d’auto résolution.
• La dépendance avec OOMADS a été retirée de tous les scripts !
• La dépendance sur des découvertes de niveau inférieure a été supprimée

Lisez le guide associé au Management Pack pour mettre en œuvre la supervision et activer les règles nécessaires.

Télécharger Microsoft System Center Management Pack for ADDS

J’effectue actuellement un projet de déploiement de Surface Pro et Surface Book. Un des composants de ces périphériques est le Stylet. Ce dernier est habituellement associé en bluetooth et configuré lors de la phase de post-installation. On retrouve alors les écrans suivants :

Il est possible d’intégrer cette phase durant le déploiement. Le déploiement s’arrêtera lors du premier démarrage du système pour effectuer l’opération.

Pour cela, vous devez créer un package à partir des fichiers d’un périphérique Surface sorti d’usine :

• Anglais :
  • %windir%\system32\oobe\info\default\1033\oobe.xml
  • %windir%\system32\oobe\info\default\1033\PenPairing_en-US.png
  • %windir%\system32\oobe\info\default\1033\PenError_en-US.png
  • %windir%\system32\oobe\info\default\1033\PenSuccess_en-US.png
• Français :
  • %windir%\system32\oobe\info\default\1036\oobe.xml
  • %windir%\system32\oobe\info\default\1036\PenPairing_fr-FR.png
  • %windir%\system32\oobe\info\default\1036\PenError_fr-FR.png
  • %windir%\system32\oobe\info\default\1036\PenSuccess_fr-FR.png

Si vous n’avez pas de Surface sortie d’usine, vous pouvez les télécharger à partir de mon OneDrive.

Organisez-le package comme suit :

• Racine
  • 1033
    • xml
    • PenPairing_en-US.png
    • PenError_en-US.png
    • PenSuccess_en-US.png
  • 1036
    • xml
    • PenPairing_fr-FR.png
    • PenError_fr-FR.png
    • PenSuccess_fr-FR.png

Le fichier oobe.xml permet de personnaliser les textes affichés à l’utilisateur :

<?xml version="1.0" encoding="utf-8"?>

<FirstExperience>

  <oobe>

    <defaults>

      <location>84</location>

      <locale>1036</locale>

      <keyboard>040c:0000040c</keyboard>

      <timezone>Romance Standard Time</timezone>

    </defaults>

    <hidSetup>

      <title>Configuration du Stylet</title>

      <accessoryImagePath>C:\Windows\System32\oobe\info\Default\1036\PenPairing_fr-FR.png</accessoryImagePath>

      <accessoryErrorImagePath>C:\Windows\System32\oobe\info\Default\1036\PenError_fr-FR.png</accessoryErrorImagePath>

      <accessoryText>Inserez la batterie, appuyez et maintenez le bouton superieur jusqu'a que la lumiere clignotte.</accessoryText>

      <accessoryErrorText>L'association n'a pas marche. Allez sur www.surface.com/support.</accessoryErrorText>

      <accessorySuccessImage>C:\Windows\System32\oobe\info\Default\1036\PenSuccess_fr-FR.png</accessorySuccessImage>

      <accessorySuccessText>L'association est un succes!</accessorySuccessText>

    </hidSetup>

  </oobe>

</FirstExperience>

Une fois votre package créé et distribué sur vos points de distribution, vous pouvez éditer la séquence de tâches en ajoutant une étape Run Commandline juste avant l’étape Configure Windows and ConfigMgr. L’opération doit être faite avant le premier démarrage du système.

Spécifiez la ligne de commande :
xcopy ".\*.*" "C:\Windows\System32\oobe\info\default\" /D /E /C /I /Q /H /R /Y /S

Vous pouvez ajouter les conditions d’exécution relatives au modèle de Surface :

Select * From Win32_ComputerSystem where Model = "Surface Book"
Select * From Win32_ComputerSystem where Model like "%Surface Pro 4%"

Vous êtes ensuite prêt pour exécuter la séquence de tâches !

Microsoft entretien un cycle sur ses certifications passant de la phase de développement, de disponibilité, et de retrait. De nouvelles certifications vont être retirées. On retient principalement :

Source: https://borntolearn.mslearn.net/b/weblog/posts/updates-on-exam-retirements-january-2017

Depuis Windows 10 1607, il n’est plus possible de supprimer certaines applications. Ceci inclut Microsoft Edge, Windows Store et l’application Contacter le support. Le problème pour cette dernière est qu’elle peut générer des incompréhensions vis-à-vis de l’utilisateur. En effet, elle n’est pas personnalisable et redirige globalement l’utilisateur auprès du support Microsoft.

Oubliez l’utilisation des cmdlets permettant de retirer le package de l’application, ce n’est pas possible pour cette dernière.

Il faut alors passer par une méthode non supportée visant à renommer le dossier de l’application dans le répertoire système associé.

Vous pouvez ainsi utiliser la tâche Run Command Line dans une séquence de tâches de déploiement lorsque le système déployé est chargé avec la ligne de commande :

cmd.exe /C ren C:\Windows\SystemApps\ContactSupport_cw5n1h2txyewy BACK_ContactSupport_cw5n1h2txyewy

Note : Vous pouvez utiliser la même solution pour Microsoft Edge ou le Windows Store. Je ne vous recommande pas de le faire pour ces applications car le retour arrière peut poser des problèmes.