A peine mise à disposition, Microsoft vient de mettre à disposition les drivers et firmwares pour Windows 10 pour la Surface Pro LTE.

Télécharger Surface Pro LTE Drivers and Firmware

Microsoft va proposer un événement de questions/réponses sur Microsoft Azure Stack. Cet évènement aura lieu ce jeudi 7 Septembre de 17h à 18h (heure française). Ask Microsoft Anything est une belle opportunité pour poser des questions sur Azure Stack.

Pour suivre la session, rendez-vous sur : https://www.reddit.com/r/AZURE/

Microsoft a mis à jour plusieurs outils SysInternals parmi lesquels :

• Sysmon v6.20 permet de superviser l’activité système. Microsoft a ajouté la capacité de changer les noms du driver et service Sysmon afin de bluffer les logiciels malveillants qui essayent de détecter sa présence.
• AccessChk v6.20 permet de vérifier les permissions d’utilisateurs ou de groupes aux différentes ressources (dossiers, fichiers, registres, etc.). Cette version corrige un problème qui pouvant engendrer un crash lors de la vérification des accès effectifs d’un compte.
• Sigcheck v2.60 est un utilitaire en ligne de commande qui affiche le numéro de version du fichier, les informations d'horodatage et les détails de signature numérique, y compris les chaînes de certificats. Cette version corrige les bugs de signature et d'horodatage du catalogue, et ne tronque plus les noms d'éditeurs qui incluent des virgules.
• Whois v1.20 effectue l'enregistrement pour le nom de domaine ou l'adresse IP que vous spécifiez. Il a été mis à jour pour fonctionner avec les redirections du serveur de registre Whois.

Si vous utilisez System Center Configuration Manager et les outils de prise en main à distance (Remote Control), vous pouvez rencontrer un problème de curseur lors de la prise en main. Ce problème survient pour une machine avec plusieurs écrans dont ils ont un paramétrage de résolution différent. Deux solutions sont possible

• Sur le système, vous pouvez cocher l’option “Let me choose one scaling level for all my displays”. Le problème survient quand elle est désactivée.
• Vous pouvez aussi sur le client Remote Control décocher l’option Scale to Fit dans le menu correspondant.

Si vous avez creusé la gestion des périphériques Surface Hub en mode moderne avec Microsoft Intune, vous avez surement dû faire face à des problèmes pour l’enregistrer à la fois dans Azure Active Directory et Microsoft Intune. Si votre Surface Hub exécute la version 1703 (Creators Update), vous pouvez utiliser la solution suivante :

1. Créer un package de provisionnement (PPKG) en sélectionnant « Use Azure Active Directory» dans Set Up Device Admins et en validant que l’option Enroll in device management est à No.
2. Dans le portail Azure Active Directory, validez que l’enregistrement dans Azure Active Directory engendre l’enregistrement automatique dans Microsoft Intune. Pour cela, naviguez dans Azure Active Directory – Mobility (MDM and MAM). Choisissez Microsoft Intune puis validez que l’étendue d’utilisateur MDM soit à « All »
3. Lors de la phase OOBE, branchez la clé USB et suivez les indications à l’écran.
4. Après coup, le Surface Hub sera enregistré dans Microsoft Intune et Azure Active Directory.

Cette solution a un inconvénient puisqu’elle casse le mécanime de Single Sign-On (SSO). Microsoft travaille sur une solution plus aisée pour les versions suivantes.

Si vous avez été dans les premiers à passer votre infrastructure vers System Center Configuration Manager 1710 via le canal Fast Ring, vous avez pu rencontre un problème avec les nouvelles personnalisations du Software Center.

Le problème peut survenir lorsque vous modifiez la section Software Center des paramétrages du client (Client Settings). Si vous spécifiez des caractères spéciaux tels que & ou _ dans le nom de l’entreprise (Company Name) ou dans le nom du fichier utilisé pour charger le logo de l’entreprise. Le problème peut aussi survenir si vous spécifiez la couleur blanche (#FFFFF) comme fond.

Ceci empêche un problème d’application de la stratégie associée sur les machines ciblées. Le problème est dû soucis d’encodage des données renseignées.

Microsoft travaille sur la correction du problème pour la phase de déploiement généralisée de System Center Configuration Manager 1710.

Microsoft vient de communiquer au travers du centre de messages Office 365 à propos du problème de message Windows Hello pour Windows 10 1709 (Fall Creators Update) dont je vous parlais très récemment. Je vous avais dis qu’une des solutions de contournement était de créer une stratégie qui désactive Windows Hello. Le message IT125479 explique qu’un problème est présent dans cette version de Windows 10 et que Microsoft a temporairement supprimé la configuration de l’écran sur l’état de l’enregistrement (Enrollment Status Screen) pour Windows AutoPilot. Le problème concernait les périphériques enregistrés avant la date du 30 novembre 2017.

Avec le changement, les nouveaux périphériques Windows 10 1709 enregistrés après le 30 novembre 2017, ne recevront plus de fenêtre demandant la création d’un code PIN pour Windows Hello.

Pour les périphériques enregistrés avant cette date, vous devez mettre en place des solutions de contournement :

1. Pour supprimer le PIN, vous devez télécharger les commandes à partir de l’adresse suivante. Vous pouvez exécuter les commandes suivantes dans le contexte de l’utilisateur
   • Set-ExecutionPolicy RemoteSigned
   • Install-Module -Name Microsoft.WindowsPassportUtilities.Commands
   • Remove-PassportContainer –CurrentUser
2. Si l’utilisateur a configure une empreinte digitale ou faciale, il n’est pas possible de les supprimer par ligne de commande. Vous devez alors demander à l’utilisateur d’aller dans Settings – Accounts – Sign In Options et supprimer les identifications faciale ou digitale.
3. Si l’utilisateur a mis à jour son périphérique vers Windows 10 1709 mais ne s’est pas connecté depuis, il peut alors être notifié de la configuration du PIN Windows Hello. Vous devez alors supprimer le dossier %programdata%\Microsoft\DMClient

Vous pouvez obtenir plus d’informations dans l’Office Message Center.

Microsoft vient de publier une nouvelle application (10.0.1) du client Remote Desktop pour Mac. Cette version apporte une nouvelle interface graphique, une amélioration de la gestion des connexions et de nouvelles fonctionnalités dans la session à distance. La version apporte aussi :

• Redirection du microphone locale
• Redirection des Smart Cards. Néanmoins, il n’est pas possible de rediriger la smart card pour une connexion à la machine distance.
• Vous pouvez maintenant utiliser les raccourcis claviers macOS pour couper/copier et coller dans la session à dsitance.

Microsoft recommande de garder la version 8.0.43 de Remote Desktop pour migrer vos données de connexion vers la nouvelles version 10.0.1 de l’application. Vous pouvez pour cela utiliser la fonction Import Connections.

Plus d’informations sur : https://cloudblogs.microsoft.com/enterprisemobility/2017/11/28/new-remote-desktop-app-for-macos-available-in-the-app-store/

Tester le client Remote Desktop pour Mac

Nathan Mercer et Michael Niehaus (MSFT) vont proposer un webcast et un événement de questions/réponses. Le webcast aura lieu le mardi 5 décembre de 19h à 20h (heure française). La session de questions/réponses aura lieu le mardi 12 décembre de 18h à 19h (heure française). Ask Microsoft Anything est une belle opportunité pour poser des questions sur Microsoft 365 et la gestion moderne de Windows 10 avec une réponse directe.

S’inscrire au Webcast 

Vous devez être membre de Tech Community pour poster vos questions via l’adresse : https://aka.ms/microsoft365-ama

Pour s’inscrire : https://techcommunity.microsoft.com/t5/Windows-10/ct-p/Windows10

Source : https://blogs.technet.microsoft.com/windowsitpro/2017/11/14/dec-5th-embrace-modern-it-with-the-microsoft-365-powered-device/

MISE A JOUR : Microsoft a temporairement corrigé le problème en retirant la fonctionnalité de gestion de l'écran de l'état d'enregistrement.

Depuis quelques jours vous avez peut-être pu constater que les utilisateurs dont la machine Windows 10 est gérée de manière moderne par Microsoft Intune, se voient forcer la configuration d’un code PIN.

Si vous vérifiez, vous n’avez pas de stratégie de configuration de Windows Hello for Business. Il semble qu’il y ait eu un changement dans le moteur de Microsoft Intune. En attendant plus de détails, vous devez configurer la stratégie Windows Hello for Business par défaut à Disabled.

Ouvrez le portail Microsoft Azure et naviguez dans Intune – Device enrollment – Windows enrollment – Windows Hello for Business. Sélectionnez la stratégie par défaut et dans la partie Settings, changez la valeur de Not Configured à Disabled.

Lors de la mise à jour du service en Novembre, Microsoft va changer la façon dont vous pouvez gérer les périphériques Android avec ou sans Android for Work avec Microsoft Intune. Il va devenir de gérer les deux modes indépendamment l’un de l’autre. Ceci va engendrer des changements dans la cinématique d’enregistrement. Vous serez informé du changement sur votre tenant par le biais du portail Office 365 Message Center.

Vous allez pouvoir :

• Bloquer l’enregistrement des plateformes indépendamment les unes des autres.

• Configurer les restrictions de plateforme (Version minimum et maximum, et BYOD) indépendamment pour Android et Android for Work.
• Les restrictions d’enregistrement liées à Android for Work précédemment présentes dans Device Enrollment – Android for Work Enrollment, seront reportés dans Device Enrollment – Enrollment Restrictions – Device Type Restrictions.

Par défaut, les paramétrages migrés d’Android for Work seront similaires à ceux qui étaient appliqués aux configurations globales d’Android. Après le changement des paramétrages Android For Work, si vous bloquez l’enregistrement des périphériques personnels à Android for Work, seulement les périphériques Android dits d’entreprise pourront s’enregistrer dans Android for Work.

Si vous n’avez jamais enregistré de périphériques Android for Work, la plateforme est bloquée par la stratégie de restriction par défaut. Vous pouvez alors changer la stratégie par défaut ou créer une nouvelle stratégie Device Type Restriction.

Si vous avez enregistrés des périphériques Android for Work, la situation dépend du paramètre :

• Paramètre configuré avec Manage all devices as Android, la stratégie de restriction par défaut est configurée à Blocked pour Android for Work.
• Paramètre configuré avec Manage supported devices as Android for Work, la stratégie de restriction par défaut est configurée à Allowed pour Android for Work.
• Paramètre configuré avec Managed supported devices for users only in these groups as Android for Work, la stratégie de restriction par défaut est configurée à Blocked pour Android for Work. Une stratégie Device Type Restriction supplémentaire est créée pour définir le groupe que vous aviez précédemment indiqué.

Source : https://blogs.technet.microsoft.com/intunesupport/2017/11/07/managing-android-for-work-devices-independently-in-the-intune-console/

Microsoft simplifie la façon de configurer les stratégies d’Accès Conditionnel (CA). Auparavant, vous pouviez configurer les stratégies d’accès conditionnel dans le portail Silverlight, à travers la partie Intune App Protection ou à travers de l’ancien portail Azure classique dans la partie Azure AD. A partir de Janvier, il ne sera possible de configurer les stratégies que via le nouveau portail Azure dans la partie Azure Active Directory.

Les stratégies que vous avez configuré via le portail Silverlight Intune ou via Intune App Protection seront bientôt en lecture seul. Elles pourront être visibles via une nouvelle tuile « Classic Policies » dans la partie Conditional Access d’Azure Active Directory du nouveau portail.

Microsoft recommande les éléments suivants :

• Arrêter d’utiliser/créer des stratégies via les anciens modes et de privilégier le nouveau portail via Azure Active Directory – Conditional Access.
• Demander le rôle Conditional Access à l’administrateur de votre tenant Azure Active Directory pour pouvoir accéder à cette partie et continuer de pouvoir administrer les stratégies d’accès conditionnel.
• Transformer vos stratégies d’accès conditionnel vers les nouvelles stratégies dans Azure Active Directory – Conditional Access. Les stratégies peuvent coexister mais vous devez savoir que la stratégie la plus restrictive, s’applique.

Plus d’informations sur : https://blogs.technet.microsoft.com/intunesupport/2017/11/16/support-tip-conditional-access-policies-for-intune-will-now-be-available-in-azure-active-directory/

L’équipe BornToLean a publié un billet concernant les périodes de Beta-testing des certifications. En effet, il s’avère que Microsoft fait face à un nombre important d’utilisateurs qui planifie le passage mais ne se présente pas à l’examen. Dans ce cas de figure, les opportunités de passage sont perdues et ne permettent pas à Microsoft d’obtenir les retours suffisants pour valider l’examen.

De ce fait, Microsoft change les conditions d’accès à ces examens. Auparavant, un voucher permettait le passage gratuitement. A partir de maintenant, Microsoft offrira un discount de 80% laissant 20% à la charge du candidat. A titre compensatoire si vous vous présentez à l’examen bêta, vous obtiendra 25% de réduction sur un futur examen passé dans l’année.

Ceci est notamment le cas pour la certification 537: Configuring and Operating a Hybrid Cloud with Microsoft Azure Stack et celles qui suivront.

Source : https://borntolearn.mslearn.net/b/weblog/posts/updates-on-microsoft-beta-exam-program-read-this

Comme Windows 10, Windows Server a son programme Windows Insiders. Microsoft a publié la Build 17035 de Windows Server. Pour rappel, Windows Server embrasse maintenant le concept as-a-Service déjà appliqué à Windows 10 et Office 365. On retrouve deux canaux de diffusions : Long-Term Servicing Channel (LTSC) et Semi-annual Channel. LTSC est l’équivalent des versions de Windows Server que l’on a connu jusqu’alors. Le canal Semi-annual Channel proposera deux versions par an, chacune supportée pour une durée de 18 mois. Ces versions seront publiées en Mars et Septembre de chaque année avec la nomenclature déjà connue AAMM (exemple 1803 pour Mars 2018). Seuls Nano Server et Server Core font partie du cycle continu Semi-annual Channel.

Windows Server Build 17035 comporte les nouveautés suivantes :

• Corrections de bugs.
• Storage Spaces Direct est intégré pour validation et retour.
• La déduplication de données peut aussi être utilisée pour Storage Spaces Direct et ReFS.
• On retrouve une nouvelle version de l’interface graphique Project “Honolulu” technical preview 1711 build 01003. Cette dernière permet notamment le support de la gestion de Windows 10 par une solution Computer Management. Elle apporte un outil Remote Desktop pour se connecter directement aux machines cibles. Enfin elle comporte des corrections de bugs et une amélioration des performances.

Pour obtenir la Preview de Windows Server, Microsoft recommande l’utilisation du programme Windows Insiders.

Source : https://blogs.technet.microsoft.com/windowsserver/2017/11/15/windows-server-preview-build-17035-available-for-windows-insiders/

Microsoft s’est associé avec TeamViewer, le leader dans les solutions de prise en main. C’est une problématique commune à toutes les entreprises visant à assurer le support à distance via des outils adaptée. La solution Teamviewer s’intègre donc à Microsoft Intune pour permettre la prise en main des périphériques Android, Windows 10 et Windows 10 Mobile. La solution vient en sus de Microsoft Intune sous la forme d’une licence supplémentaire.

La solution de TeamViewer offre les fonctionnalités suivantes :

• Chat avec l’utilisateur.
• Transfert de fichiers.
• Tableau de bord du périphérique présentant les informations globales (CPU, RAM, Batterie, fabricant, numéro de série, WiFi, Stockage, Bluetooth, etc.)
• Prise en main à distance
• Capture d’écran
• Inventaire des applications installées.
• Désinstallation à distance des applications installées
• Processus en cours d’exécution
• Gestion des paramétrages dont les réseaux WiFi (Ajout, etc.)

Aujourd’hui, la solution est disponible uniquement pour les périphériques Android, Windows 10, et Windows 10 Mobile. Elle est aussi disponible pour les PCs gérés avec le client Intune (en opposition à ceux gérés de manière moderne via l’agent MDM).

Les modèles Android supportés sont indiqués sur la page : Supported manufacturers for remotely controlling Android devices

Le but de cette série d’articles est de faire un tour d’horizon de l’intégration entre Microsoft Intune et TeamViewer avec les phases de mise en œuvre et d’exploitation :

• Intégration avec TeamViewer : configurations préliminaires du tenant
• Intégration avec TeamViewer : Prise en main de périphériques Android
• Intégration avec TeamViewer : Prise en main de périphériques Windows 10 (à venir)

Avant de démarrer, vous devez disposer d’un abonnement Microsoft Intune. A date d’écriture de cet article (Octobre 2017), TeamViewer s’intègre uniquement à une configuration Microsoft Intune en mode autonome.

Déploiement de l’application TeamViewer QuickSupport sur les périphériques Android

De manière à pouvoir prendre la main sur le périphérique tout en facilitant la vie de l’utilisateur (afin qu’il n’ait pas à télécharger lui-même l’application), vous devez déployer les applications TeamViewer QuickSupport et Host sur les périphériques Android.

Pour tous les périphériques Android :

• TeamViewer QuickSupport
• TeamViewer Host permet de se connecter à un périphérique même si ce dernier n’est pas utilisé.

Pour Samsung, vous devez utiliser

• QuickSupport for Samsung.
• Host for Samsung permet de se connecter à un périphérique même si ce dernier n’est pas utilisé.

Deux solutions s’offrent à vous :

• Déployer via le Google Play Store pour tous types de périphériques.
• Déployer via le Google Play Store for Work pour des périphériques gérés via Android for Work.
• Déployer les sources APK individuellement via le site Web.

La méthode va déprendre de la façon dont vous gérez vos périphériques.

Déploiement de manière traditionnelle

Dans le portail Azure, naviguez dans Microsoft Intune – Mobile Apps – Apps, cliquez sur Add. Sur l’écran suivant, choisissez le type d’application Android store App puis renseignez les informations (nom, description, éditeur, URL de l’Application et version minimale du système d’exploitation) :

Une fois l’application créée, choisissez un groupe de périphérique contenant les périphériques Android et choisissez un type de déploiement Required.

Répétez l’opération pour TeamViewer Host.

Déploiement via Android for Work

Avant de pouvoir déployer des applications via Android for Work, vous devez avoir configuré la fonctionnalité et enregistré les périphériques dans ce mode de fonctionnement. Ceci est une prérequis à la suite de cette partie.

Ouvrez le portail Google Play for Work et cherchez l’application TeamViewer QuickSupport. Approuvez l’application et configurez les paramètres d’approbation concernant les nouvelles demandes d’autorisation :

Répétez l’opération pour TeamViewer Host.

Dans le portail Azure, attendez la synchronisation ou forcez en naviguant dans le service Microsoft Intune – Mobile Apps – Android for Work. Cliquez sur Sync.

En naviguant dans Microsoft Intune – Mobile Apps – Apps, vous voyez apparaître l’application dans la liste. Vous pouvez ensuite la déployer à votre convenance.

Prise en main du périphérique Android et Expérience Utilisateur

Côté opérateur

Pour prendre en main le périphérique Android, l’opérateur doit se connecter au portail Azure puis naviguer dans Microsoft Intune – Devices – All Devices. Il doit ensuite cibler le périphérique Android en cliquant dessus. Il doit ensuite cliquer sur le bouton ... More puis New Remote Assistance Session :

Une fenêtre visant à confirmer la session d’assistance à distance s’ouvre. Cliquez sur Yes.

Pendant quelques minutes, le service initie la session puis la page se met à jour avec un lien vous permettant de lancer l’assistance à distance :

Une fenêtre Teamviewer s’ouvre et vous propose de télécharger l’outil.

Côté utilisateur

Ce dernier doit lancer le portail d’entreprise dans lequel il retrouve une notification lui indiquant qu’une session d’assistance à distance a été initiée par l’administrateur.

Il doit alors cliquer sur la notification et l’ouvrir avec l’application QuickSupport associée. Une fois l’application ouverte, il doit autoriser explicitement la prise de contrôle.

L’interface permet à l’utilisateur de dialoguer avec l’opérateur. Vous pouvez observer le petit œil dans la barre qui indique que le partage d’écran est effectif.

Retour côté opérateur

Lorsque le partage est effectif, l’opérateur peut dialoguer avec l’utilisateur par Chat. Il a aussi accès à de nombreuses fonctions. Il peut par exemple effectuer un transfert de fichiers vers le périphérique.

Il retrouve en premier lieu un tableau de bord avec :

• Le CPU (usage + fréquence),
• La mémoire (usage + taille)
• La batterie (usage + Temperature)
• Le stockage (Taille + Usage)
• Les informations du matériel (fabricant, modèle, numéro de série, la résolution)
• Les informations du système d’exploitation (Version, langue, IMEI, UUID)
• Les informations réseaux (WiFi et Bluetooth)

Un onglet Application liste toutes les applications installées avec la version, la taille et la date d’installation :

Un autre onglet (Settings) permet de voir les applications en cours d’exécution.
Un espace permet de voir les différents réseaux WiFi enregistrés.

Enfin, on retrouve deux onglets permettant le contrôle à distance et Capture d’écran :

L’opérateur peut alors interagir avec la souris. Il retrouve une barre intégrée permettant d’avoir accès aux trois boutons : Previous, Home, et Navigation.

Note : La capacité de pouvoir utiliser le contrôle à distance dépend du périphérique et du système d’exploitation.

Tout comme pour Windows Server, Windows et System Center Configuration, Microsoft propose à SaaSifié la gamme System Center. Ainsi on retrouve la Technical Preview 1711 pour les produits Datacenter de la suite System Center. La Technical Preview disponible au format VHD pour le grand public.

Voici les nouveautés :

Général

• Support de Windows Server 1709 afin notamment de permettre la supervision et la gestion de l’hôte, la configuration de réseaux virtuels SDN chiffrés, la configuration de machines virtuelles Linux protégées (Shielded) et de la protection via la sauvegarde.
• Support de TLS 1.2.
• Corrections de bugs.

Virtual Machine Manager

• Avec le composant additionnel Virtual Machine Manager, vous pouvez gérer les machines virtuelles Azure ARM, Azure Active Directory et plus de régions (Azure China, US Government et Germany)
• Support de fonctionnalité Windows Server 2016 additionnelles dans Virtual Machine Manager avec :
  • La virtualisation imbriquée
  • La configuration du load balancer software.
  • Les paramétrages de stratégie et de configuration de la QoS de stockage.
  • La migration de machines virtuelles UEFI VMware vers des machines virtuelles Hyper-V.
• Support de SLB Guest cluster floating IP
• QoS du stockage pour VMM Cloud
• Extension de la QoS de stockage pour le stockage SAN
• Le mode Enhanced Session permet de faire du Remote to VMs
• Mise à jour simplifiée pour les agents des hôtes en Workgroup.
• Support de la bascule HGS pour les machines virtuelles protégées (Shielded VM)
• Le rafraichissement de l’hôte a été rendu 10 fois plus rapide.

Operations Manager

• Intégration de Service Map d’Operations Manager avec les applications distribuées afin de voir les dépendances déduites d’application, serveurs, et réseau depuis Service Map.
• La supervision Linux dans Operations Manager permet de faire de la supervision granulaire de fichiers de journalisation en utilisant l’agent personnalisable Linux basé sur FluentD.
• Amélioration de l’expérience de la console Web de SCOM avec le passage complet en HTML5 pour permettre le support par tous les navigateurs, des Widgets inclus et personnalisables.
• Le support de Kerberos pour Linux.
• Amélioration du temps de réponse de l’interface de la console avec nombre important de Management Packs.
• Une fonctionnalité pour suivre les mises à jour et recommandations pour les Management Packs tiers.

Data Protection Manager

• Utilisation de la technologie de stockage de sauvegarde moderne (Modern Backup Storage) dans Data Protection Manager pour sauvegarder des machines virtuelles VMware encore plus rapidement tout en réduisant le coût du stockage.

 Service Manager

• Intégration de Service Manager avec Azure Action Groups afin de paramétrer la création automatique d’incidents à partir d’alertes sur des ressources Azure ou non-Azure.

Plus d’informations sur : https://cloudblogs.microsoft.com/hybridcloud/2017/11/08/preview-of-first-system-center-semi-annual-channel-release-now-available/

Télécharger :

• System Center Technical Preview 1711
• System Center Service Manager Preview, version 1711 – Evaluation (VHD)
• System Center Operations Manager Preview, version 1711 – Evaluation (VHD)
• System Center Orchestrator Preview, version 1711 – Evaluation (VHD)
• System Center Data Protection Manager Preview, version 1711 – Evaluation (VHD)
• System Center Virtual Machine Manager Preview, version 1711 – Evaluation (VHD)

Microsoft vient de mettre à disposition la version finale (5.00.8577.1000) de System Center Configuration Manager 1710. ConfigMgr a subi une refonte de sa structure pour permettre des mises à jour aisées de la même façon que l’on peut le voir avec Windows 10. C’est pourquoi la fonctionnalité Updates and Servicing (nom de code Easy Setup) a été introduite. Vous devez donc utiliser cette dernière pour mettre votre site System Center Configuration Manager 1706. Si vous utilisez System Center 2012 Configuration Manager, vous devez mettre à jour votre site vers System Center Configuration Manager 1702 avant de pouvoir passer à cette version.

Note : Un script PowerShell est disponible pour permettre d’opter pour la première vague de déploiement.

System Center Configuration Manager 1710 comprend les nouveautés suivantes :

Administration

• Support de Windows 10 1709.
• Support des périphériques Windows 10 ARM64 pour la gestion moderne via Microsoft Intune en mode hybride. Ceci inclut l’enregistrement du périphérique, l’effacement sélectif ou complet, la gestion des paramétrages et de la conformité, la configuration des ressources de l’entreprise (Certificats, VPN, Wi-Fi, Email), la configuration des stratégies Windows Hello for Business, et la gestion des applications.
• Annoncé au Microsoft Ignite 2017, cette version inclut le Co-Management pour les périphériques Windows 10. Cette fonctionnalité permet de gérer des périphériques Windows 10 à la fois avec le client ConfigMgr mais aussi en mode moderne avec Microsoft Intune (Standalone). Vous pouvez ainsi choisir quelles sont les fonctionnalités que vous souhaitez gérer avec quel mode (traditionnel ou moderne). Pour l’instant, vous pouvez gérer les stratégies de conformité et les stratégies Windows Update for Business.
  Il vous faudra les prérequis suivants :
  • Azure AD Premium P1
  • Des licences EMS ou Intune pour les utilisateurs.
  • Des clients Windows 10 1709 (Fall Creators Update).
  • Des clients joints en mode hybride à Active Directory et Azure Active Directory.

• Une fonctionnalité qui permet de gérer les redémarrages des clients en obtenant l’état de redémarrage depuis la console et en lançant une action cliente de redémarrage. Le redémarrage utilise l’API du client ConfigMgr et affiche donc une fenêtre de notification.

• La fonctionnalité d’exécution des scripts (Run Scripts) se voit améliorer avec notamment :
  • L’arrivée de la délégation via les étendues de sécurité
  • La supervision en temps réel de l’exécution du script
  • Les paramètres sont intégrés dans l’assistant de création du script afin d’apporter la validation et l’identification des paramètres optionnels et obligatoires.

• Il est possible d’ajouter des éléments de personnalisation de l’entreprise au Software Center comme le nom de l’entreprise, le thème de couleur, le logo de l’entreprise ou la visibilité des onglets. Cette configuration se fait depuis les paramétrages du client.

• Lorsque vous configurez le niveau de télémétrie avec les paramétrages du client, vous pouvez utiliser un nouveau niveau appelé Enhanced (Limited) à partir de Windows 10 1709. Celui-ci ne permet d’envoyer que les éléments de base ainsi que les éléments nécessaires à Windows Analytics Device Health.

• Support limité des certificats CNG (Cryptography API: Next Generation). Les clients ConfigMgr peuvent utiliser un certificat client avec une clé privé dans le CNG Key storage Provider (KSP). Ceci permet le supporté des clés privées basées sur le matériel (TPM). Les certificats CNG peuvent être utilisés pour permettre :
  • L’enregistrement du client et les communications avec les Management Point HTTPs.
  • La distribution logicielle et le déploiement d’application avec un Distribution Point HTTPs.
  • Le déploiement de système d’exploitation.
  • Le SDK Client Messaging (avec la dernière mise à jour) et les Proxy ISV.
  • La configuration Cloud Management Gateway.

Gestion du contenu

• Peer Cache quitte le statut de préversion (Pre-release)
  • Client Peer Cache supporte maintenant les fichiers d’installation express de Windows 10 et Office 365.
• Vous pouvez maintenant déployer des Cloud Distribution Points (Cloud DP) dans Azure Government.

Déploiement d’applications

• Le Software Center ne déformera plus les icônes dont la taille est supérieure à 250x250. Software Center a rendu ces icônes floues. Vous pouvez maintenant définir une icône avec une dimension de pixel allant jusqu' à 512x512, et elle s'affiche sans distorsion.

Mises à jour logicielles

• Vous pouvez gérer les mises à jour de drivers pour les périphériques Microsoft Surface. Ceci requiert l’utilisation de Software Update Point qui exécutent Windows Server 2016. Cette fonctionnalité était jusqu’à maintenant en préversion.

Déploiement de systèmes d’exploitation

• Support du déploiement de système d’exploitation de Windows 10 1709. Vous pouvez donc mettre à niveau et utiliser la dernière version de l’ADK 1709.
• La tâche Run Task Sequence quitte le statut de préversion (Pre-Release). Cette tâche permet d’imbriquer des séquences de tâches. Le scénario classique est l’utilisation d’une séquence de tâches pour appliquer les drivers ou installer des applications qui est elle-même appelée par plusieurs séquences de tâches parentes. Tous les scénarios de déploiement de système d’exploitation (Software Center, PXE et media) sont supportés. La tâche Run Task Sequence peut être utilisée à travers plusieurs niveaux de séquence de tâches et pas simplement une relation parent-enfant. Cette capacité augmente la complexité de la séquence de tâches. Microsoft valide toujours qu’il n’y ait pas de boucles/références circulaires.

Conformité des paramétrages

• Amélioration de l’expérience pour les profils VPN afin de n’afficher les paramétrages uniquement applicables à la plateforme spécifique. Les profils sont maintenant spécifiques à la plateforme (excepté pour Android, Android for Work ou Windows 8.1). De plus, le workflow de création a été combiné entre les machines gérées avec le client SCCM et celles gérées en mode hybride (Microsoft Intune). La page Automatic VPN est obsolète et a été supprimée. Ceci n’est applicable que pour les nouveaux profils créés. Les anciens profils ne sont pas touchés et les pages de configuration restent similaires.

• Cette version corrige les problèmes avec les deux paramétrages de stratégies de gestion des applications mobiles (MAM) introduits dans la version 1706 :
  • Disable contact sync empêche l’application de sauvegarder des données vers l’application Contact native.
  • Disable printing empêche l’application d’imprimer des données d’entreprise
• Changement dans les stratégies Windows Defender Device Guard
  • Renommage des stratégies Device Guard par Windows Defender Application Control.
  • A partir de Windows 10 1709, l’application des stratégies ne nécessitent plus le redémarrage du périphérique pour s’appliquer. Par défaut, le redémarrage est nécessaire.
  • Les administrateurs ont l’option d’autoriser les périphériques verrouillés à exécuter les logiciels de confiance qui ont une bonne réputation comme déterminé par Microsoft Intelligent Security Graph (ISG). Ce dernier est issu de Windows Defender SmartScreen et des autres services Microsoft. Le périphérique doit d’ailleurs exécuter Windows Defender SmartScreen afin que le logiciel soit taggué comme de confiance.
• Configurer et déployer des stratégies Windows Defender Application Guard. Pour rappel, Windows Defender Application Guard (WDAG) permet d’isoler Microsoft Edge dans un environnement conteneurisé. Ceci évite qu’un logiciel malveillant qui exécute du code à partir du navigateur puisse se propager au système. Cette fonctionnalité nécessite Hyper-V pour fonctionner et par conséquent le matériel adéquat.
• Support de Windows Defender Exploit Guard afin de permettre la configuration et le déploiement des stratégies pour les 4 composants dans Windows 10 1709 (ou plus) :
  • Attack Surface Reduction
  • Controlled folder access
  • Exploit protection
  • Network protection

Plus d’informations sur cette version : What’s new in version 1710 

Pour obtenir les éléments relatifs au processus de mise à jour : https://docs.microsoft.com/en-us/sccm/core/servers/manage/updates

Cela faisait déjà plusieurs semaines que Microsoft communiquait l’information à plusieurs entreprises en sous-marin, c’est maintenant officiel. Windows 10 1511 se voit octroyer 6 mois additionnels de support et de mises à jour. Microsoft fournira donc des mises à jour pour corriger les problèmes de sécurité importants et critiques jusqu’en Avril 2018. Cela signifie que les correctifs cumulatifs ne contiendront plus de nouvelles mises à jour pour corriger des problèmes de fiabilité et de performance. Les mises à jour ne seront disponibles que pour Windows 10 1511 Enterprise et Education. Elles pourront être déployées via Windows Update, WSUS ou System Center Configuration Manager.

Source : https://blogs.technet.microsoft.com/windowsitpro/2017/11/14/progressing-windows-as-a-service/

Microsoft vient de mettre à jour (7.0.0.0) le pack d’administration ou Management Packs (MP) SCOM pour superviser SQL Server 2016. Il permet la supervision du moteur de base de données, des instances, des bases de données ainsi que de l’agent SQL Server. Il fonctionne avec SCOM 2007 R2 (sans les dashboards), SCOM 2012 SP1, SCOM 2012 R2 et SCOM 2016.

Cette nouvelle version apporte les éléments suivants :

• Correction d’un problème d’encodage invalide des noms d’instance SQL dans les tâches AlwaysON de la console.
• Correction d’un problème avec le moniteur XTP Configuration est toujours dans un état Warning pour l’édition SQL Server 2016 Standard.
• Réimplémentation des workflows AlwaysON pour permettre la supervision des groupes de disponibilité avec plus de 200 base de données.
• Mise à jour de la description d’alerte des moniteur Availability Group pour ajouter le nom du cluster et le nom du premier réplica.
• Implémentation de 3 règles d'alerte pour les événements #5105 (erreur avec accès physique au fichier), #833 (demande d'IO a pris plus de 15 secondes), et #41144 (échec du groupe de disponibilité AO); elles sont désactivées par défaut.
• Ajout d'informations de débogage dans les scripts de surveillance Always On monitoring.
• Règle de performance "MSSQL 2014/16: HTTP Storage: Avg. Règle de performance "Octets/Transfert"
• Activation des workflows Memory-Optimized pour toutes les éditions de SQL Server 2016 par défaut, dans la mesure où toutes les éditions prennent désormais en charge Memory Optimized Data depuis SP1.
• Désactivation de la règle d'alerte pour l'événement #18456 par défaut.
• Optimisation de ProbeAction pour le workflow User Resource Pool Memory

Note : Ce Management Pack ne dépend pas du Management Pack de Library SQL Server.

Télécharger Microsoft System Center Management Pack for SQL Server 2016

Microsoft vient de publier un nouveau Management Pack (7.0.0.0) pour superviser le composant Replication de SQL Server 2017. Il fonctionne avec SCOM 2012 R2 ou plus. Il permet la supervision de :

• Des composants de réplication comme un Distributor, Publisher, Publication, etc.
• Des éléments de disponibilité, de performance, et de configuration

Cette nouvelle version apporte les éléments suivants :

• Possibilité de superviser SQL Server en mode Agentless Monitoring. Microsoft introduit un SQL Server 2017+ Monitoring Pool.
• L’usage des scripts a été arrêté en faveur des modules .Net Framework.
• Les fonctions et vues dynamiques de gestion (DMV) sont utilisées pour récupérer les informations sur l’état de santé et performance. Auparavant, des requêtes WMI et d’autres sources de données étaient utilisées.

Télécharger Microsoft System Center Management Pack for SQL Server 2017+ Replication

Microsoft vient de mettre à jour (7.0.0.0) des packs d’administration ou Management Packs (MP) SCOM pour superviser SQL Server 2017. Il supervise le moteur de base de données, les instances et les bases données. Il fonctionne avec SCOM 2012 R2 ou plus. Cette nouvelle version apporte les éléments suivants :

• Cette version couvre la supervision de Windows et Linux.
• Possibilité de superviser SQL Server en mode Agentless Monitoring. Microsoft introduit un SQL Server 2017+ Monitoring Pool.
• L’usage des scripts a été arrêté en faveur des modules .Net Framework.
• Les fonctions et vues dynamiques de gestion (DMV) sont utilisées pour récupérer les informations sur l’état de santé et performance. Auparavant, des requêtes WMI et d’autres sources de données étaient utilisées.

Télécharger Microsoft System Center Management Pack for SQL Server 2017+

Voici le récapitulatif des annonces faites par Microsoft concernant sa plateforme Microsoft Azure.

Parmi les annonces, on retrouve notamment :

General

• Microsoft annonce une augmentation par 3 de la capacité de Microsoft Azure en Chine dans les 6 prochaines mois.
• Microsoft annonce un nouveau comparatif (Service Map) des services Cloud entre Azure et AWS. Il est disponible depuis ce site ou en PDF. Cette dernière est découpée avec les sections suivantes : Marketplace, Computer, Storage, Networking & Content Delivery, Database, Analytics and Big data, Intelligence, IoT, Management et Monitoring, Mobile Services, Security/Identity et Access, Developer Tools, Enterprise Integration.
• PowerShell drive pour Azure permet de naviguer dans vos ressources Azure comme dans votre système de fichiers.
• Azure est certifié Cyber Essentials PLUS sur les prérequis stricts du gouvernement anglais (UK). Ce procédé permet aux entreprises de limiter les risques de cyber attaques. L’appellation PLUS permet de valider ces prérequis par un tiers.
• Extension du programme Microsoft Data Accelerator avec 4 nouveaux scénarios :
  • Modernisation de vos applications pour supporter SQL Server 2017 sur Linux
  • Migrer vos applications SQL Server ou Oracle vers Azure SQL Database
  • Construire et déployer de nouvelles applications qui utilisent des bases de données MySQL ou PostgreSQL.
  • Déplacer des applications SQL Server On-Premises vers Azure SQL Database Managed Instance.
• Ajout de 40 nouvelles offres dans Azure MarketPlace dont Cinegy Air Cloud Pack, Vaultive Cloud Security Platform, 5nine Smart Firewall for Azure, SAP HANA, express edition, CoreStack Multi-Cloud Governance Platform, EventSentry BYOL, Veritas CloudPoint 1.0, OpenVPN Access Server, F5 BIG-IP LTM Autoscale Solution, F5 WAF Solutions, Verisign DNS Firewall, CentOS 6.9 Hardened Ubuntu 16.04 LTS Hardened, Red Hat Enterprise Linux 7, etc.
• Disponibilité Générale de Managed Applications dans Azure Marketplace. Cette solution permet de déployer une application dans son intégralité et de laisser gérer un partenaire complétement gérer et maintenir l’application. Pour l’instant, on retrouve les partenaires suivants : OpsLogix, Xcalar, Cisco. Plus d’informations : https://azure.microsoft.com/en-us/blog/azure-managed-application-in-azure-marketplace-under-the-hood/
• Microsoft a publié le module Azure PowerShell en version 5.0.1.

Azure MarketPlace

• Disponibilité de Truffle 4.0 Beta 2 dans l’Azure MarketPlace. Ceci est une boite à outils permettant aux développeurs de construire des applications décentralisées sur le Blockchain Ethereum.

Azure Network

• Il est maintenant possible d’activer Azure CDN directement depuis les services Cloud du portail Azure.
• Microsoft annonce avoir travaillé pour créer une technologie appelée CrystalNet permettant d’offrir des outils visant à réduire considérablement les arrêts réseaux et améliorer la disponibilité des clients.
• Les réseaux Virtuels Service Endpoints et les Storage Firewalls ont été étendus à toutes les régions.

Azure Security Center

• Preview de nouvelles détections de menaces sur Linux pour Azure Security Center. Il est maintenant possible de détecter des processus suspicieux, des tentatives de connexion douteuses, le chargement/déchargement de module kernel, et d’autres activités qui indiquent qu’une attaque est en cours.

IaaS

• Les machines virtuelles de série Fv2 sont disponibles. Ces dernières utilisent des processeurs Intel® Xeon® Platinum 8168. 7 tailles seront disponibles avec pour la plus importante 72 vCPUs et 144 GB de RAM.
• Microsoft vient d’annoncer un partenariat avec Cray pour fournir des super ordinateurs Cray XC ou CS dans Azure afin d’exécuter des AI ou des HPC.

Azure Stack

• Annonce du support des processeurs Xeon Scalable pour Microsoft Azure Stack. Ces processeurs permettent le support de jusqu’à 28 cœurs par CPU, une amélioration de la stack IO et jusqu’à 50 % d’amélioration dans la bande passante mémoire.
• Disponibilité Générale d’App Services et Functions sur Azure Stack.

Microsoft 365

• Après Microsoft 365 Enterprise, Microsoft 365 Business est en disponibilité générale.

Office 365

• Extension du PSTN à la Belgique et l’Allemagne à partir du 1^er
• Microsoft StaffHub est maintenant disponible pour Microsoft 365 Business et Business Premium. StaffHub est une application permettant aux employés de première ligne de gérer leur charge de travail en créant des planifications, en assignant ou complétant des tâches et en communicant avec les autres employés. L’application sera présente dans le panneau de lancement d’application d’Office.
• Microsoft publie un module PowerShell pour Microsoft Teams. Il permet de provisionner automatiquement de nouveaux Teams, de nouveaux canaux dans le Team, d’ajouter des membres et de paramétrer des options.
• Les clients finaux Office 365 Home et Office 365 Personal se voient attribuer de nouveaux avantages lorsqu’ils utilisent Outlook.com :
  • Les bannières de publicité ne sont plus présentes.
  • Microsoft propose une protection sophistiquée contre les menaces.
  • Plus d’espace de stockage. Les comptes gratuits passent à 15GB alors que les comptes Office 365 Home et Office 365 Personal passent à 50 GB. Les clients Outlook.com qui avaient une boite aux lettres de plus de 12 GB se voient attribuées 50 GB grâce à leur fidélité.

Enterprise Mobility + Security

• Microsoft a mis à jour le portail d’entreprise Microsoft Intune pour macOS afin d’améliorer l’expérience, les informations et les notifications liées à la conformité. Il est à noté qu’une fois déployé, le service Microsoft AutoUpdate pour macOS permet de mettre à jour le portail. Note : Le portail d’entreprise requiert macOS 10.11 ou plus.
• Public Preview du proxy Cloud App Security. Le contrôle de session de l’accès conditionnel s’intègre Microsoft Cloud App Security pour permettre de contrôler et limiter les actions des utilisateurs sur des applications SaaS via des stratégies d’accès conditionnel. Il sera par exemple possible de laisser l’accès à des utilisateur depuis des emplacements inconnus ou des périphériques non gérés mais dans le même temps d’empêcher le téléchargement de données sensibles.

Azure Active Directory

• Disponibilité Générale de l’accès conditionnel basé sur périphérique pour macOS. L’accès conditionnel permet de gérer l’accès aux ressources de l’entreprise en fonction de conditions spécifiques de conformité : gestion du périphérique par Microsoft Intune, conformité vis-à-vis du mot de passe. La disponibilité générale apporte notamment le support du navigateur Chrome et de Microsoft Teams en plus de Safari et Microsoft Office 2016 pour macOS v15.34 ou plus.
• Microsoft intègre l’accès conditionnel basé sur l’application pour iOS et Android. Vous pouvez donc combiner les stratégies conditionnelles basée sur els applications avec des stratégies basées sur le périphérique.
• Ajout du nœud Devices dans la partie Azure Active Directory du portail Azure. Vous pouvez y voir les propriétés du périphérique ainsi que les clés BitLocker.
• Les entreprises avec un environnement Azure Active Directory fédéré par des outils tels qu’Active Dierctory Federation Services, doivent mettre à jour pour accepter des demandes à partir de nouvelles URLs. Pour l’instant, il n’y a pas d’impact si vous ne le faites pas mais elles permettent d’assurer une résilience.
• Microsoft fournit une page entretenue des nouveautés apportées à Azure Active Active Directory en mode Release Note.
• Microsoft vient de déployer la nouvelle expérience utilisateur quand il s'agit de se connecter avec un compte Azure AD ou Microsoft. Cette dernière est restée en Preview d’Auût à aujourd’hui et rend maintenant l'expérience consistante.
• Preview de l’accès conditionnel pour Azure Information Protection. Cette fonctionnalité permet d’appliquer des stratégies d’accès sur les fichiers protégés.  Ceci permet de configurer des stratégies qui demande à l’utilisateur d’effectuer une authentification à facteurs multiples avant de pouvoir accéder au document. Ce scénario peut être utilisé lorsque l’utilisateur est en dehors du réseau de l’entreprise ou comporte un risque.

Azure Information Protection

• La capacité d’utiliser ses propres clés de chiffrement (Bring Your Own Key) pour Azure Information Protection devient compatible avec Exchange Online. C’était une des principales problématiques de la solution qui est enfin corrigée.
• Nouvelle version (1.10.56.0) du client Azure Information Protection corrigeant des bugs :
  • Corrige un problème de blocage sur Outlook avec les rappels.
  • Support des mises à jour pour Office 64-bits afin de protéger les documents et emails.
  • Si la police de caractère configurée n’est pas présente sur le client, alors le client Azure Information Protection utilise la police Calibri par défaut.
  • Quand vous configurez un label pour les permissions définies par l’utilisateur et la protection HYOK, la protection n’utilise plus de manière incorrecte le service Azure Rights Management.
• Nouvelle Preview (1.15.7.0) du client Azure Information Protection apportant :
  • Azure Information Protection scanner afin d’analyser les fichiers stockés sur des partages et des sites SharePoint. L’outil peut ensuite classifier et appliquer des stratégies sur les fichiers.
  • Pour les applications Office, la classification automatique et recommandée s’exécute constamment en fond au lieu de s’exécuter quand le document est sauvegardé. Avec ce changement, vous pouvez appliquer une classification automatique et recommandées dans des documents stockés dans SharePoint Online.
  • Un nouveau paramétrage avancé du client permet afin d’empêcher Outlook d’appliquer un label par défaut mais par conséquent un autre label.
  • Pour les applications Office, lorsque vous spécifiez des permissions personnalisées, vous pouvez naviguer et sélectionner des utilisateurs à partir de l’icône de l’annuaire comme c’est le cas depuis l’explorateur de fichiers.

Operations Management Suite

•  Nouvelle version (v1.4.1-123) de l’agent OMS Linux corrigeant des bugs et permettant de définir une limite de processus pour l’utilisateur omsagent lors de l’installation.

Azure Log Analytics

• Microsoft est en train de migrer les Workspace Azure Log Analytics vers le nouveau langage de requêtage. La mise à niveau converti toutes les recherches enregistrées, alertes, vues et vers le nouveau langage. Microsoft a mis à jour plus de 50 pourcent des Workspaces. A partir du 16 octobre, la création de nouveaux workspaces ne pouvait se faire qu’avec le nouveau language. La mise à niveau automatique démarre la semaine du 30 Octobre pour s’étaler jusqu’au 27 novembre.
• Preview de la supervision des circuits ExpressRoute par la solution Network Performance Monitoring.

Azure Automation

• Preview du support de Python 2 et du rôle Hybrid Runbook Workers for Linux.

Azure Backup

• Disponibilité Générale des sauvegardes de l’état du système (System State) par Azure Backup. Vous pouvez configurer des sauvegarde journalière de l’état du système, automatiser le déploiement, la configuration, la sauvegarde et la restauration.

Azure Site Recovery

• Public Preview d’Azure Site Recovery (ASR) proposé directement dans les machines virtuelles IaaS de Microsoft Azure. Ceci permet de configurer la réplication et faire une bascule en un seul clic. Vous pouvez donc sélectionner le nœud Disaster Recovery et choisir la région cible. L’ensemble des éléments (resource group, availability set, virtual network, etc.) sont automatiquement créé en fonction de la configuration de la machine virtuelle source.

Azure SQL

• Disponibilité Générale de la réplication transactionnelle dans Azure SQL Database. En Public Preview depuis des mois, cette fonctionnalité permet de la réplication transactionnelle entre votre base de données On-Premises et une base de données Azure SQL Database. Ceci peut par exemple être utilisé dans des scénarios de migration afin de réduire le temps d’indisponibilité.
• Le tuning automatique sera activé par défaut dans tous les déploiements SQL à partir du 18 Janvier.

Cosmos DB

• Public Preview du support de Cosmos DB par Azure Storage Explorer. L’outil peut être utilisé pour explorer et gérer le stockage utilisé par Cosmos DB.

StorSimple

• StorSimple Snashot Manager a été mis à jour en Version 5. Cette dernière est compatible avec l’Update 4.0 ou 5.0.

Azure Container Service

• Preview d’AKS pour Azure Container Service. AKS est un service géré Kubernetes rendant facile la gestion des environnement Kubernetes.

Azure Governement

• Introduction d’Azure Government Secret permettant de supporter les agences gouvernementales qui ont des données classifiées secret.
• Les solutions Citrix VDI arrivent sur Azure Government afin de permettre l’arrivée des postes de travail Windows 10 à partir de la solution Citrix Cloud.
• Microsoft annonce l’arrivée de Blockchain sur Azure Government offrant les solutions associées à ces clients spécifiques.
• Microsoft propose les machines de séries H pour les besoins High Performance Computing (HPC).
• Azure Security Center arrive sur Azure Government. Azure Security Center donne de la visibilité et du contrôle sur la sécurité des ressources Azure. On retrouve notamment un tableau de bord avec les différents points de sécurité et recommandations par niveau de sévérité. Azure Security Center utilise un certain nombre de technologies dont le machine learning pour comprendre les patterns et les différences entre systèmes.

Autres services

• Ajout d’une visionneuse de requête DAX dans le Web Designer d’Azure Analysis Services. Cette dernière permet de voir, générer et éditer des requêtes DAX.
• Public Preview du monitoring visuel pour Azure Data Factory V2. Cette fonctionnalité permet de superviser des pipelines data factory v2 sans avoir à écrire une seule ligne de code. Plus d’informations sur : https://azure.microsoft.com/en-us/blog/highlighting-3-new-features-in-azure-data-factory-v2/
• Preview de la fonctionnalité Geo-disaster recovery pour Azure Service Bus et Azure Event Hubs. Cette fonctionnalité permet de gérer basculer sur un autre Datacenter géographique en cas de désastre. Ceci se fait sans avoir à gérer ceci dans le code et en utilisant la synchronisation des métadonnées entre deux namespaces indépendants. La réplication de données n’est pas encore supportée mais attendue après la disponibilité générale.
• Azure Event Grid supporte Event Hubs comme destination.
• Mise à jour d’Octobre pour les outils Azure Data Lake pour Visual Studio Code les fonctionnalités suivantes : Amélioration de l’upload de fichiers avec un seul ou plusieurs fichiers avec la supervision du statut, suppression des dépendances Java et .NetCore pour Windows, ajout du téléchargement à partir d’ADLS avec la supervision de l’état, etc.
• Une mise à jour de BlockApps STRATO Suite est disponible sur Azure avec un tableau de bord, etc.

Microsoft vient d’annoncer la mise à disposition d’un nouvel ensemble de fonctionnalités pour Microsoft Intune.

Les fonctionnalités suivantes sont ajoutées :

Enregistrement

• [Windows 10 1709+] Arrivée du Co-Management pour les périphériques Windows 10. Cette fonctionnalité permet de gérer des périphériques Windows 10 à la fois avec le client ConfigMgr mais aussi en mode moderne avec Microsoft Intune (Standalone). Vous pouvez ainsi choisir quelles sont les fonctionnalités que vous souhaitez gérer avec quel mode (traditionnel ou moderne). Pour l’instant, vous pouvez gérer les stratégies de conformité et les stratégies Windows Update for Business.
• [Windows 10 1709+] Nouvelle page sur l’état d’enregistrement des périphériques Windows 10 1709 ou plus. Cette page est notamment utilisée dans le cadre d’AutoPilot ou de la jointure à Azure Active Directory avec l’enregistrement automatique dans Microsoft Intune. Vous pouvez configurer un message personnalisé et un lien hypertexte pour afficher des informations à l’utilisateur.

• [Windows 10] Une nouvelle alerte est disponible pour les périphériques Windows AutoPilot non assignés à un profil. Cette alerte affiche combien de périphériques sur la page Microsoft Intune > Device enrollment > Overview page.
• [Windows 10] Il est maintenant possible de restreindre l’enregistrement des périphériques Windows par version de système d’exploitation (minimum ou maximum).

• [Windows 10] La page de paramétrage de l’application du portail d’entreprise pour Windows 10 a été mise à jour pour rendre les paramétrages et les actions utilisateurs plus consistants à travers tous les paramétrages. Il a aussi été mis à jour pour faire correspondre le rendu aux autres applications Windows. Pour vois les différences, vous pouvez voir la page what's new in app UI.
• [Windows 10] Ajout de l’information Ownership Type dans la vue Device Details du portail d’entreprise sur iOS. Ceci offre plus de transparence à l’utilisateur.
• [macOS] Microsoft publie le portail d’entreprise pour macOS qui a été optimisé pour afficher toutes les informations et toutes les notifications de conformité à l’utilisateur. Un fois installé, Microsoft AutoUpdate pour macOS fournira les mises à jour du portail au même titre que les autres applications Microsoft (Office). Il est téléchargeable depuis le site web du portail d’entreprise quand vous vous connectez depuis un périphérique macOS.
• [Android] Le portail d’entreprise pour Android affiche des demandes de retours utilisateurs afin qu’ils soient envoyés à Microsoft et fournir une opportunité aux utilisateurs de donner leur avis. L’utilisateur peut bien entendu passer la notification.
• [Android] Le portail d’entreprise pour Android peut maintenant utiliser la géolocalisation (geofencing) pour protéger l’accès aux ressources de l’entreprise. Il utilise des informations réseaux comme l’adresse IP, l’adresse de la passerelle par réseau, le DNS pour déterminer s’il doit avoir accès aux ressources.
• [Android] Le portail d’entreprise pour Android intègre des instructions pour aider l’utilisateur final à résoudre des problèmes comme l’atteinte du nombre maximum de périphériques enregistrables, les problèmes d’activation de Samsung KNOX ou la désactivation du mode d’économie d’énergie.
• [Android] Le portail d’entreprise pour Android intègre une action « Resolve » sur la page Update device settings. En sélectionnant cette option, l’utilisateur est directement redirigé vers le paramétrage qui rend son périphérique non conforme. Le portail supporte les actions pour le mot de passe de verrouillage, le chiffrement, l’USB Debugging et les sources inconnues.
• [Android] Le portail d’entreprise pour Android intègre un indicateur de progression pour la configuration du périphérique lors de l’enregistrement. On retrouve les états suivants : "Setting up your device...", "Registering your device...", "Finishing registering your device...", et "Finishing setting up your device..."
• [iOS] Amélioration de la configuration du périphérique dans le portail d’entreprise iOS en version 2.9.0. Les termes utilisés sont plus compréhensibles et des écrans ont été combinés. Microsoft intègre aussi le nom de l’entreprise dans le texte. Vous pouvez voir les différences avec la page what's new in app UI page.

Gestion des périphériques

• [General] Microsoft a ajouté les éléments suivants dans l’inventaire des périphériques enregistrés :
  • L’adresse MAC WiFi
  • L’espace de stockage total
  • L’espace de stockage disponible
  • MEID
  • L’opérateur abonné
• [General] Support de Symantec Cloud Certification Authority (CA) permettant au connecteur Microsoft Intune de distribuer aux périphériques gérés des certificats PKCS à partir de Symantec Cloud CA.
• [General] Il est maintenant possible de rafraichir la liste des périphériques dans la partie Devices via un bouton. En effet, la liste n’est pas rafraichie automatiquement.

Configuration des périphériques

• [iOS] Support des connexions WiFi avec des clés pré-partagées (PSK) pour WPA/WPA2. Ces profils sont poussés aux périphériques des utilisateurs quand le périphérique est enregistré dans Intune.
• [Windows 10 1703+] Intune Management Extension (sidecar) permet de gérer et exécuter des scripts PowerShell sur les périphériques Windows 10. Ceci permet d’apporter une réponse aux périphériques Windows 10 gérés de manière moderne et dont vous souhaiteriez faire une configuration spécifique ou l’installation d‘une application.

• [Windows 10] Vous pouvez configurer le VPN Citrix pour les périphériques Windows 10. Note : la configuration Citrix existait déjà pour iOS et Android.
• [Windows 10 1709+] Deux nouveaux paramétrages pour Windows Antivirus :
  • File blocking level permet de protéger le périphérique contre des fichiers. On retrouve 4 niveaux : Not Configured (Par défaut), High, High+ et Zero Tolerance.
  • Tiemout extension for file scanning by the cloud permet de specifier le temps de blocage que Windows Defender applique en attendant la réponse du Cloud. Celle-ci est fixée par défaut à 10 secondes et peut être augmentée jusqu’à 50.
• [Windows 10 1709+] Vous pouvez restreindre les utilisateurs de périphériques Windows 10 configurés en mode Kiosk à certaines applications uniquement. Le mode Kiosk est supporté en deux modes : Single App (permettant de n’exécuter qu’une application) et Multi App (permettant l’utilisation de plusieurs applications).
• [Windows 10] De nouveaux paramétrages de restrictions de périphérique sont disponibles :
  • Messaging (Mobile uniquement) pour désactiver les SMS.
  • Password : Paramétrage pour activer FIPS et utiliser des périphériques Windows Hello comme second périphérique pour l’authentification.
  • Display : Paramétrage pour activer ou désactiver GDI Scaling pour les applications héritées.
• [Wndows 10 1709+] Ajout d’un type de profil Network Boundary permettant la configuration de ressources d’entreprise pour être utilisée par Windows Defender Application Guard et Windows Information Protection. Vous pouvez définir des ressources cloud, des plages d’adresses IP, des serveurs proxy internes, etc.

• [Windows 10 1709+] Gestion de Windows Defender Exploit Guard 1709 (ou plus) afin d’offrir des capacités de prévention d’intrusion avec notamment :
  • La réduction de la surface d’attaque (ASF)
  • L’accès contrôlé des dossiers
  • Le filtrage réseau
  • La protection contre les exploits

Les paramétrages sont présents dans le profil de configuration Endpoint Protection – Windows Defender Exploit Guard.

• [Windows 10 1709+] Gestion de Windows Defender Application Guard sur Windows 10 1709 (ou plus) afin de permettre l’exécution des sites non connus dans une version conteneurisée de Microsoft Edge. Les sites de confiance sont exécutés sur l’instance Microsoft Edge sur système hôte. Le paramétrage est disponible dans le profil de configuration Endpoint Protection – Windows Defender Application Guard. Vous pouvez ensuite définir les emplacements réseaux via le profil Network Boundary (voir plus haut).
• [Windows 10 1709+] Gestion de Windows Defender Application Control sur Windows 10 1709 (ou plus) Enterprise pour n’autoriser que les applications de confiance. Le paramétrage est disponible dans le profil de configuration Endpoint Protection – Windows Defender Application Control. Il permet d’activer la fonctionnalité en mode audit (pas de blocage) ou forcé.

• [Windows 10 1709+] Gestion et configuration du parefeu Windows (Windows Defender Firewall) pour gérer les différents protocoles en fonction du type de réseau (public, privé, domaine, etc.). Les paramétrages sont présents dans le profil de configuration Endpoint Protection – Windows Defender Firewall.

Gestion des applications

• [General] Les applications dans Intune affiche maintenant le numéro de version pour les applications métiers iOS et Android. L’utilisateur peut voir le numéro de version depuis le portail d’entreprise ou le portail Web. Le numéro de version complet comprend deux parties : Version(Build).
• [General] Le rapport Device install status affiche maintenant le numéro de version de l’application pour les applications métiers pour iOS et Android.
• [General] L’application Microsoft Planner pour iOS et Android fait maintenant parti des applications approuvées pour la gestion des applications mobiles (MAM). Vous pouvez configurer la protection depuis la partie Intune App Protection du portail Azure.
• [iOS] Les administrateurs IT peuvent maintenant configurés un prérequis pour forcer le mot de passe au lieu d’un PIN numérique à travers la gestion des applications mobiles (MAM) quand l’application se lance.
• [iOS] Les administrateurs peut maintenant supprimer des prérequis VPN par application sur les périphériques iOS.
• [Android] Un administrateur peut définir le patch de sécurité Android minimum qui doit être installé sur le périphérique afin d’obtenir l’accès à une application gérée. Cette fonctionnalité n’est applicable qu’à partir d’Android 6.0+.

Supervision et Dépannage

• [Général] La première version du modèle de données Intune Data Warehouse ne contenait que les données récente et historique. Il n’était pas possible de capturer l’état courant d’un utilisateur. Dans cette mise à jour, le modèle User entity est peuplé avec les dernières données utilisateur.
• [iOS] les utilisateurs qui ont installé le Managed Browser peuvent voir l’état de gestion pour toutes les applications Microsoft publiées et envoyer les logs pour dépanner.

Plus d’informations sur : https://docs.microsoft.com/en-us/intune/whats-new

Alors qu’il vient tout juste d’être mis à disposition, Microsoft vient de mettre à disposition les drivers pour Windows 10 et firmwares pour le Surface Book 2.

Télécharger Surface Book 2 Drivers and Firmware

Microsoft vient de mettre à disposition la Technical Preview 1711 (5.0.8582.1000) de System Center Configuration Manager. Pour rappel, ConfigMgr a subi une refonte de sa structure pour permettre des mises à jour aisées de la même façon que l’on peut le voir avec Windows 10. Si vous souhaitez installer cette Technical Preview, vous devez installer la Technical Preview 1703 puis utiliser la fonctionnalité Updates and Servicing (nom de code Easy Setup).

Note :  La mise à niveau échoue si vous avez un serveur de site en mode passif. Ceci peut être le cas si vous utilisez la Technical Preview 1706, 1707, 1708, 1709 ou 1710. Vous devez alors désinstaller le serveur de site en mode passif.

System Center Configuration Manager TP 1711 comprend les nouveautés suivantes :

Déploiement de système d’exploitation

• Amélioration de l’action Run Task Sequence pour imbriquer des séquences de tâches. Le scénario classique est l’utilisation d’une séquence de tâches pour appliquer les drivers ou installer des applications qui est elle-même appelée par plusieurs séquences de tâches parentes.
  • Support de tous les scénarios de déploiement de système d’exploitation (Software Center, PXE et media)
  • Amélioration des opérations dans la console pour permettre la copie, l’import, l’export et des avertissements lors de la suppression.
  • Support de l’assistant Create Prestage Content.
  • Intégration avec la vérification des déploiements.
  • La tâche Run Task Sequence peut être utilisée à travers plusieurs niveaux de séquence de tâches et pas simplement une relation parent-enfant. Cette capacité augmente la complexité de la séquence de tâches. Microsoft valide toujours qu’il n’y ait pas de boucles/références circulaires.

Déploiement d’applications

• Il est maintenant possible de déployer une application avec le compte System tout en laissant l’utilisateur interagir avec l’interface graphique. Ceci est très pratique pour toutes les installations qui ne permettent pas une exécution en mode silencieux ou lorsque des configurations spécifiques sont nécessaires. Vous devez pour cela activer l’option au niveau du type de déploiement: Allow users to interact with the program installation. Il est aussi possible d’utiliser ce mécanisme dans des séquences de tâches pour la création d’une image de référence après l’étape Setup Windows and Configuration Manager ou la mise à niveau du système d’exploitation dans le groupe Post-Processing. La séquence de tâches est alors mise en pause jusqu’à ce que l’utilisateur complète les informations.

Configuration des paramétrages et conformité

• De nouveaux paramétrages de stratégies de conformité pour Windows 10 permettent de :
  • Require Firewall: valider que le pare-feu est activé et supervise toutes les interfaces réseau.
  • Require User Account Control : valider que l’UAC est activé.
  • Defender:
    • Require Windows Defender Antivirus : Demande l’activation de Windows Defender Antivirus.
    • Windows Defender Antivirus version: spécifie la version minimum des définitions antivirales installées sur le périphérique
    • Require current Windows Defender Antivirus signature : vérifie que les périphériques ont des mises à jour de définition Windows Defender Antivirus à jour.
    • Require Real-Time Protection : Demande que le périphérique ait la protection en temps réel Windows Defender Antivirus.
  • Valid operating system builds : spécifie les prérequis de version de Windows minimum et maximum.

Plus d’informations sur : https://docs.microsoft.com/en-us/sccm/core/get-started/capabilities-in-technical-preview-1711