• [Intune] Aperçu de l’intégration avec le Windows Store for Business

    Windows Store for Business permet l’achat/l’acquisition d’applications et de licences en masse pour les périphériques Windows 10 (Mobile ou Desktop). Le Windows Store for Business propose deux modes :

    • Le mode en ligne (Online) est utilisé en combinaison d’un compte Azure Active Directory. Il permet l’installation d’applications pour les utilisateurs et permet de traquer l’usage des licences directement via l’interface web mise à disposition des entreprises. Dans ce scénario, le Windows Store est séparé en deux : La partie publique nécessite un compte Microsoft. La partie entreprise requiert à l’utilisateur de se connecter via son compte Azure Active Directory de l’entreprise. Cette connexion ajoute un nouvel onglet (à droite de Films et TV) au nom de l’entreprise dans lequel l’utilisateur retrouve les applications qui lui ont été attribuée.
    • Le mode déconnecté (Offline) ne nécessite pas de compte Azure Active Directory. L’utilisateur n’a même pas besoin d’accéder au Windows Store pour installer les applications. Ces dernières peuvent être installées pour l’utilisateur ou pour la machine via un outil de télédistribution tel que System Center Configuration Manager. Il vous suffit pour cela de récupérer les binaires de l’application pour les déployer vous-même. Dans ce scénario, le suivi des licences n’est pas fait et l’entreprise doit le faire via sa solution d’administration. Toutes les applications ne sont pas disponibles de manière hors ligne. Cette option est à la discrétion du développeur. Toutes les applications universelles développées par Microsoft (Word, Excel, OneNote, etc.) sont disponibles hors ligne.

     

    Ce billet traite de l’intégration entre Microsoft Intune (standalone) et Windows Store for Business. A l’écriture de ce billet (Janvier 2017), Microsoft Intune propose une intégration pour les scénarios suivants :

    Déploiement d’applications

    Moderne (Agent MDM)

    Mode

      Type

    Déploiement

     

    Hors Ligne (Offline)

    Gratuite

    Obligatoire

    Optionnel

    Payante

    Obligatoire

    Optionnel

    En Ligne (Online)

    Gratuite

    Obligatoire

    Optionnel

    Payante

    Obligatoire

    Optionnel

     

    Commencez par vous connecter au Windows Store for Business avec un compte Azure Active Directory de votre tenant Microsoft Intune : https://www.microsoft.com/fr-fr/business-store. Lors de la première connexion, vous devez accepter le contrat de services pour activer le service pour l’entreprise.

    Notez qu’il faut environ 24 heures pour que le service s’initialise. La même durée s’applique lors de l’acquisition d’une nouvelle application. Ceci peut expliquer le délai avant que cette dernière apparaisse dans votre console Microsoft Intune.

    Naviguez dans Settings – Management Tools. Microsoft Intune doit être listé avec un statut Inactif. Cliquez sur Activate pour l’activer.

    Une fenêtre s’ouvre vous demandant si les applications hors ligne doivent être affichées dans le store. Sélectionnez Yes.

     

    Pour acheter/acquérir des applications, restez dans le Windows Store for Business. Cherchez les applications que vous souhaitez déployer et choisissez Get the app.

     

    Maintenant que nous avons configuré le Windows Store for Business et que nous avons ajouté des applications. Il faut configurer l’intégration dans Microsoft Intune. Ouvrez le portail Azure et naviguez dans More Services > Intune. Ceci ouvre un tableau de bord où vous pouvez cliquer sur Manage Apps :

    Vous pouvez ensuite cliquer sur Windows Store for Business dans la partie Setup. Sélectionnez Enable. La première étape a déjà été faite précédemment. Sélectionnez la langue qui doit être utilisée pour afficher les applications dans la console. Cliquez sur Save. Vous pouvez ensuite lancer une Synchronisation manuelle. Si vous venez de configurer votre tenant Windows Store for Business et d’y ajouter des applications, vous devez observer une période de 24 heures.

     

    Après synchronisation, vous pouvez naviguer dans Mobile Apps – License Apps pour voir la liste des applications que vous avez ajouté à votre tenant :

     

    Vous pouvez ensuite sélectionner une application (VLC dans mon cas). La page d’aperçu (Overview) affiche la date de création et l’état de l’application sur les périphériques ou vis-à-vis des utilisateurs :

    La partie Properties liste les propriétés de l’application (Description, Editeur, Catégorie, etc.). Il n’est pas possible de modifier ces éléments lorsque l’application est créée via le connecteur Windows Store for Business.

    Pour déployer l’application, cliquez sur Assignments et sélectionnez le groupe des utilisateurs ou de périphériques cibles. Choisissez ensuite si vous souhaitez déployer de manière obligatoire (Required) ou désinstaller (Uninstall) l’application :

    Répétez l’opération autant de fois que vous avez besoin de la déployer sur des groupes différents.

    Après synchronisation des stratégies sur le périphérique d’un utilisateur ciblé, vous pouvez voir apparaître l’application dans la liste.

    Une fois téléchargée et installée, l’état remonte dans la console Microsoft Intune. Vous pouvez obtenir plus de détails dans la partie Monitor – Device Install Status ou User Install Status :

    • 28/2/2017
  • [EMS] Un webinar sur l’Accès Conditionnel On-Premises avec NetScaler

    Microsoft et Citrix préparent un webinar d’une heure gratuite sur l’accès conditionnel fourni par la suite Entreprise Mobility + Security (EMS) et Citrix NetScaler Unified Gateway.

    Ce dernier aura lieu le 1er Mars 2017 à 11h00 (Pacific Time) ou 20h00 (heure de paris).

    Inscrivez-vous au webinar

    • 28/2/2017
  • [SCCM] La Technical Preview 1702 de System Center Configuration Manager est disponible

    Microsoft vient de mettre à disposition la Technical Preview 1702 (5.0.8496.1000) de System Center Configuration Manager. Cette Technical Preview est une préversion de la nouvelle version Current Branch (1702) attendue prochainement. Cependant, toutes les fonctionnalités présentes dans cette version ne seront pas nécessairement présentes dans la version Current Branch.

    Pour rappel, ConfigMgr a subi une refonte de sa structure pour permettre des mises à jour aisées de la même façon que l’on peut le voir avec Windows 10. Si vous souhaitez installer cette Technical Preview, vous devez installer la Technical Preview 5 (équivalent de la TP1603) puis utiliser la fonctionnalité Updates and Servicing (nom de code Easy Setup).

    System Center Configuration Manager TP 1702 comprend les nouveautés suivantes :

    • Capacité de changer le Software Update Point utilisé par les clients lorsque vous avez installé plusieurs Software Update Points.
    • Support d'Android for Work pour le mode hybride
    • 42 paramétrages additionnels sont disponibles pour iOS.
    • Support d'Azure Active Directory Domain Services pour l'installation d'un site Configuration Manager afin de gérer des machines virtuelles sur le même domaine AAD DS.
    • Fermeture des fichiers exécutables à la date butoir ils bloqueraient l'installation d'une application. Vous pouvez spécifier le comportement d'installation en choisissant les processus et en associant un nom afin de demander à l'utilisateur de les fermer ou de les fermer automatiquement à la date butoir.
    • Personnalisation des avertissements pour les déploiements à haut risque comme les séquences de tâches utilisées pour déployer un nouveau système d'exploitation.
    • Téléchargement des dernières mises à jour ConfigMgr uniquement afin de ne pas télécharger toutes les versions lorsque le site est en retard sur le suivi des versions. En outre, une fonction de nettoyage automatique du dossier EasySetupPayload est inclus. Enfin, un avertissement est affiché lorsque vous installez une mise à jour qui a été remplacée par une plus récente.
    • Amélioration de la recherche dans la console afin de chercher le chemin de l'objet, de préserver le texte et le choix de rechercher dans les sous-dossiers notamment lorsque vous changez de noeud.
    • Ajout de règles de non conformité d'applications pour iOS et Android pour l'accès conditionnel afin de bloquer l'accès aux ressources lorsque ces applications sont détectées.
    • Prévention de la surcharge d'un ordinateur source Peer Cache. La machine source peut rejeter ou ne pas répondre à une demande cliente dans certains cas lorsque la batterie est faible, lorsque le processeur est sur-utilisé, lorsque les I/Os sont importants ou en fonction du nombre de connexions.
    • L'administrateur peut créer et distribuer des certificats PFX afin d'être utilisé pour le chiffrement S/MIME.
    • Intégration améliorée avec Windows Update for Business afin d'inclure le résultat de l'évaluation dans les règles de conformité pour l'accès conditionnel.
    • Un tableau de bord Management Point Status dans System Status permet d'obtenir des informations sur le Management Point comme le nombre de client en ligne, l'usage processeur, la mémoire disponible et le nombre d'inventaire et de requêtes d'enregistrement, de stratégies ou de message d'état.

    Plus d’informations sur : https://docs.microsoft.com/en-us/sccm/core/get-started/capabilities-in-technical-preview-1702

    • 28/2/2017
  • Les informations des mises à jour de sécurité ne sont plus publiées que sur le nouveau portail

     Microsoft a mis à disposition en novembre dernier un nouveau portail pour suivre les informations relatives aux vulnérabilités de sécurité et aux mises à jour associées. Ce portail permet notamment de :

    • Filtrer et ranger les vulnérabilités de sécurité par CVE, numéro de KB, produit, etc.
    • Filtrer les produits qui ne s’appliquent à votre stratégie
    • Utiliser une API RESTful pour permettre d’extraire les informations.

    Depuis le mois de janvier, les informations ne seront plus publiées qu’à partir de ce portail.

    Accéder au portail

    • 27/2/2017
  • Une vidéo de présentation d’Advanced Threat Analytics

    Microsoft a publié une vidéo présentant sa solution Microsoft Advanced Threat Analytics pour protéger son Datacenter. Pour rappel, Microsoft Advanced Threat Analytics est construit sur l’analyse du comportement combiné avec la détection en temps réel des tactiques, Techniques et Procédures (TTPs) des attaquants. La solution utilise donc la technologie Deep Packet Inspection (DPI) pour analyser le trafic réseau Active Directory ainsi que les informations de sécurité et d’événements (SIEM). L’analyse comportementale ne nécessite pas la création de règles ou de stratégie, ni le déploiement d’agents. L’outil apprend continuellement des analyses effectuées. Ces techniques permettent de construire une carte et des profils pour identifier les comportements anormaux, les attaques avancées et les problèmes de sécurité connus. La solution permet de réduire considérablement les faux positifs liés à des profils définis. Le comportement de l’analyse est contextualisé en fonction des données passées et des différentes phases d’apprentissage.

    • 26/2/2017
  • [DPM] La vérification de l’intégrité ou la création d’un point de restauration d’une machine virtuelle VMware échoue avec l’erreur FileFaultFault

    L’équipe DPM a publié un billet sur des erreurs FileFaultFault qui peuvent survenir lors de la vérification de l’intégrité ou la création d’un point de restauration pour une machine virtuelle VMware.

    L’erreur suivante est levée :

    DPM encounterd error from VMware while trying to get ChangeTracking information. Server – Vmware_Server_name.  ErrorCode – FileFaultFault (ID 33621 Details: Internal error code: 0x80990EF3)

    Ceci survient dans plusieurs cas :

    • VMware vCenter et vSphere versions 5.5 et 6.0 avec les mises à jour sont supportées par Microsoft Azure Backup Server et Data Protection Manager. Si la version est inférieure à 5.5 alors des erreurs comme celles-ci peuvent être levée. Pour résoudre le problème, vous devez mettre à jour VMware vers 5.5 ou plus.
    • MABS et DPM ne supporte pas la protection des machines virtuelles avec des disques indépendants. Le mode Independent engendre des erreurs FileFaultFault. Vous pouvez soit désactiver ce mode ou désactiver et réactiver “Changed Block Tracking” (CBT).

    Pour en apprendre plus, rendez-vous sur : https://blogs.technet.microsoft.com/dpm/2017/01/16/support-tip-dpm-recovery-point-or-consistency-check-for-a-protected-vmware-vm-fails-with-filefaultfault-error/

    • 26/2/2017
  • De la documentation (Posters, présentations, etc.) sur Remote Desktop Services dans Azure

    Microsoft a publié un certain nombre de documentation sur le service Remote Desktop Services hébergé dans Microsoft Azure IaaS. On retrouve le poster des solutions, des informations et des guides techniques pour RDS dans des machines virtuelles IaaS Azure

    Télécharger :

    • 25/2/2017
  • [SCOM 2012/2016] Un Management Pack (1.4.4.0) pour Microsoft Azure Resource Manager

    Microsoft vient de publier un nouveau pack d’administration ou Management Pack (MP) (1.4.4.0)  pour Microsoft Azure Resource Manager. Ce Management Pack vient remplacer les précédents pour Windows Azure. System Center Operations Manager (SCOM) fait partie de la gamme System Center, il propose une supervision souple et évolutive de l’exploitation au niveau de toute l’entreprise, réduisant la complexité liée à l’administration d’un environnement informatique, et diminuant ainsi le coût d’exploitation. Ce logiciel permet une gestion complète des événements, des contrôles proactifs et des alertes, et assure une gestion des services de bout en bout. Il établit des analyses de tendance et des rapports, et contient une base de connaissances sur les applications et le système.

    Ce management pack fournit les fonctionnalités suivantes :

    • Découverte des services : Application Insights, Automation, Backup, Biztalk, Cloud Service, Data Factory, DocumentDB, Logic App, Media Services, Mobile Services, Networks, Notification Hubs, Operational Insights, Redis Cache, SCheduler, Search, Service Bus, SQL Azure, Storage Accounts, Traffic Manager, Virtual Machines, et Websites
    • Collecte de performance pour : Cloud Services, Data Factory, DocumentDB, Mobile Services, Redis Cache, SQL Azure, Virtual Machines, Websites

    Cette version comprend :

    • Création automatique du Service Principal Name
    • Mise à jour et redesign des assistants Add Monitoring et Add Subscription avec notamment la correction des métriques dupliquées pour les bases de données SQL et la correction de l’édition de la liste d’exclusion.
    • Support de l’authentification à facteurs multiples
    • Le délai de livraison des alertes Azure Application Insights est réduit
    • Correction d’un problème avec les machines virtuelles qui n’ont pas la propriété OS Version peuplée
    • Correction d’un problème dans SCOM où la tâche peut être complétée avec succès alors que le statut de sorti est en échec.
    • Amélioration des performances de l’assistant Add Monitoring
    • Correction des noms d’état opérationnels pour “Virtual Machine Turn Off Monitor”
    • Mise à jour de la liste des endpoints REST pour les instances chinoises
    • Pour le mode SPN, les types RDFE sont supprimés de la liste des types de service.
    • Suppression du prérequis où les administrateurs SCOM avaient besoin d’entrer le mot de passe lors de la création/édition de configuration de supervision.
    • Correction d’un problème : les alertes ne sont pas délivrées si l’entité découverte a une alerte dans le passée (avant que SCOM découvre l’entité)
    • Correction d’un problème : les alertes Azure Application Insights n’ont pas le lien vers le portail Azure.
    • Ajout d’une fonctionnalité : si une nouvelle machine virtuelle est découverte ou si une existante est supprimée, une alerte correspondante est affichée dans la console.
    • Réduction de la latence pour la génération d’événements lorsqu’une condition survient dans une machine virtuelle Azure.
    • Réduction de la latence pour les machines virtuelles provisionnées dans Azure afin de s’afficher dans SCOM.
    • Implémentation d’une tâche pour requêter l’inventaire de toutes les machines virtuelles.
    • Mise à jour des informations d’affichage pour correspondre aux changements récents.

    Notez que ce pack d’administration nécessite System Center 2012 Service Pack 1 (SP1) – Operations Manager, System Center 2012 R2 Operations Manager ou System Center 2016 Operations Manager

    Télécharger Microsoft System Center 2016 Management Pack for Microsoft Azure

    • 24/2/2017
  • [SCOM 2016] L’Update Rollup 2 de System Center 2016 Operations Manager est disponible

    Microsoft vient de publier l’Update Rollup 2 pour System Center 2016 Operations Manager (KB3209591). Avant d’appliquer cet UR, lisez bien les articles de la base de connaissances associés. Vous pouvez les déployer manuellement en récupérant les CAB ou via Windows Update/WSUS.

    Celui-ci corrige le problème suivant :

    • Lorsque vous utilisez l’Assistant Unix Process Monitoring Template (ajout d’un nouveau modèle) pour surveiller les processus sur les serveurs UNIX, les données surveillées ne sont pas insérées dans la base de données.
    • Lorsqu’un Management Server est supprimé du resource pool All Management Server, le processus Monitoring Host n’actualise pas le TypeSpaceCache.
    • Quand des alertes sont fermées à partir de la vue Alerts après une recherche, les alertes fermées apparaissent toujours dans la vue lorsque la recherche est nettoyée.
    • Lorsque vous appuyez sur Ctrl + C pour copier une alerte dans la vue Alert et que vous appuyez sur Ctrl + V pour la coller dans le bloc-notes, l’heure de Création est en heure UTC, et non l’heure locale.
    • Les groupes disparaissent de la vue de groupe après que les avoir ajoutées à une Application distribuée.
    • Les notifications de messagerie instantanée à partir d’Operations Manager vers Skype échouent lorsqu’une exception incorrecte provoque l’exception NullReferenceException dans la méthode SipNotificationTransport.Send .
    • Lorsque l’option de mode de maintenance pour les moniteurs dépendants est définie sur « Ignore » et le groupe (est composé du serveur auquel ce moniteur dépendant est associé) est placée en mode Maintenance, l’état des modifications du moniteur change à critique et n’ignore pas le mode maintenance.
    • En raison d’un scénario rare de calcul incorrect de la configuration et des overrides, certaines entités gérées peuvent passer dans un état non surveillé. Ce comportement est accompagné d’événements 1215 qui sont écrits dans le journal Operations Manager.
    • Les tâches de restauration sur le moniteur « Computer Not Reachable » génèrent des ouvertures de session en échec sur les Agents de SCOM qui ne font pas partie du même domaine que les groupes d’administration.
    • Le workflow ManagementGroupCollectionAlertsCountRule échoue et génère une alerte « Power Shell Script failed to run ».
    • La cmdlet Get-SCOMGroup échoue lorsqu’elle doit lister des milliers de groupes dans Operations Manager.
    • Les propriétés d’une unité d’organisation pour les ordinateurs qui exécutent Windows ne sont pas découverts ou remplies. Cette découverte fait partie du System Center Internal Library MP. Après la mise à jour, les propriétés de l’unité d’organisation seront découvert pour tous les ordinateurs qui exécutent Windows.
    • Lorsque l’agent Operations Manager Health Service démarre, et l’agent est configuré pour l’intégration d’Active Directory, si l’agent ne peut pas contacter Active Directory, il s’eteint immédiatement et arrête d’essayer de se connecter et à obtenir la stratégie à partir d’Active Directory.

    Les problèmes suivants sont corrigés dans le Management Pack UNIX et Linux :

    • SHA1 est déconseillée et les certificats SHA256 sont désormais pris en charge sur le Management Server qui est utilisé pour signer le certificat de l’OMI Unix/Linux.
    • OMI ne fonctionne pas sur des serveurs Linux configurés pour la conformité FIPS.
    • Les compteurs de performance Avg. Physical disk sec/transfer ne s’affichent pas pour les ordinateurs Hewlett Packard.
    • OMI affiche des informations erronées de mémoire sur les ordinateurs Solaris 10.
    • Les performances de la carte réseau ne sont pas affichés pour les plates-formes SLES 12 x64 dans la Console Operations Manager.
    • Il n’est pas possible de découvrir les systèmes de fichiers sur les ordinateurs HP-UX 11.31 IA-64 avec plus de 128 disques. Il prenait en charge 128 VG. Maintenant la prise en charge est étendue à 256 VG.
    • La supervision ne peut pas démarrer sur certaines applications JBoss, car la découverte du serveur d’application JBoss définit de manière incorrecte le chemin d’accès de disque pour le serveur JBoss.

    Télécharger Update Rollup 2 for System Center 2016 Operations Manager

     

    • 24/2/2017
  • [SCOM 2012+] Mise à jour (7.1.10148.0) du Management Pack pour Message Queuing 6.3

     Microsoft vient de publier une mise à jour (version 7.1.10148.0) du Management Pack (MP) pour Windows Server 2012 R2 Message Queuing 6.3. Pour rappel, System Center Operations Manager (SCOM) fait partie de la gamme System Center, il propose une supervision souple et évolutive de l’exploitation au niveau de toute l’entreprise, réduisant la complexité liée à l’administration d’un environnement informatique, et diminuant ainsi le coût d’exploitation. Ce logiciel permet une gestion complète des événements, des contrôles proactifs et des alertes, et assure une gestion des services de bout en bout. Il établit des analyses de tendance et des rapports, et contient une base de connaissances sur les applications et le système.

    Lisez le guide pour implémenter et obtenir plus d’information sur ce qui est supervisé par défaut ou ce qui doit être activé via des overrides.

    Télécharger System Center 2012 Management Pack for Microsoft Windows Server 2012 R2 Message Queuing 6.3

    • 23/2/2017
  • [Azure Active Directory / Intune] Configurer l’accès conditionnel (Office 365, Exchange, etc.)

    Une des grandes forces de la suite Entreprise Mobility + Security (EMS) est sa capacité à restreindre l’accès à Office 365 aux périphériques enregistrés et conformes à la solution d’administration. Cette fonctionnalité s’appelle l’accès conditionnel. Elle fournit une brique essentielle à la sécurisation des services de l’entreprise.

    Auparavant, l’accès conditionnel se configurait dans le portail Microsoft Intune. Avec le passage du service Intune dans le portail Azure. L’accès conditionnel des applications SaaS (dont Office 365) est gérée par Azure Active Directory directement. L’accès conditionnel d’une infrastructure Exchange On-Premises se fait toujours via Microsoft Intune.

    Notez que l’accès conditionnel des applications SaaS requiert une licence Azure Active Directory Premium. Si vous avez souscrit à des abonnements Microsoft Intune seul (Intune Direct A) alors cette fonctionnalité n’est pas disponible.

    Pour configurer l’accès conditionnel d’une infrastructure Exchange On-Premises, ouvrez le portail Azure et naviguez dans More Services > Intune. Ceci ouvre un tableau de bord où vous pouvez cliquer sur Conditional Access. Vous devez ensuite installer et configurer le connecteur pour pouvoir configurer l’accès conditionnel à votre infrastructure Exchange On-Premises :

    Note : Nous ne rentrerons pas plus dans le détail de la configuration de l’accès conditionnel pour Exchange On-Prem.

     

    Pour configurer l’accès conditionnel à des applications SaaS telles qu’Office 365, ouvrez le portail Azure et naviguez dans More Services > Azure Active Directory. Choisissez Conditional Access puis Add.

    Note : L’administrateur qui configure les règles d’accès conditionnel doit avoir une licence EMS E3 ou Azure Active Directory Premium assignée.

    Pour procéder à la création, vous devez d’abord choisir à quels utilisateurs vous souhaitez attribuer la règle :

    • Aucun
    • Tous les utilisateurs
    • Des utilisateurs ou des groupes spécifiques.

    Vous pouvez aussi exclure des utilisateurs de cette règle (par exemple lorsque vous choisissez de l’appliquer à tous les utilisateurs).

     

    La partie Cloud apps vous permet de choisir les applications SaaS auxquelles vous souhaitez appliquer la règle :

    • Aucune application
    • Toutes les applications Cloud gérées au travers d’Azure Active Directory
    • Des applications Cloud spécifique

    Vous pouvez aussi exclure certaines applications lorsque vous choisissez par exemple d’appliquer la règle à toutes les applications Cloud.

     

    Ensuite, vous pouvez choisir les conditions d’application de la règle. Ceci ne constitue pas une obligation. Si vous ne spécifiez pas de conditions, la règle s’applique pour les applications définies dans tous les cas. Sinon, vous pouvez jouer sur :

    • Le niveau de risque de la connexion. Le niveau est jugé par Azure Active Directory lorsque l’utilisateur se connecte par exemple d’un emplacement inconnu ou depuis une adresse IP malicieuse, etc.

    • Les plateformes (Android, iOS, Windows Phone, Windows). Vous pouvez cibler toutes les plateformes, des plateformes spécifiques ou en exclure certaines.

    • L’emplacement en choisissant d’appliquer quel que soit l’emplacement ou uniquement depuis des adresses IP connues.

    • Les applications clientes utilisées pour les applications SaaS compatibles (par exemple Office 365) en sélectionnant si cela s’applique au navigateur, aux applications mobiles et desktop.

     

    Enfin, vous devez terminer en choisissant les contrôles à appliquer dans les conditions définies par la règle. Vous pouvez choisir de :

    • Bloquer l’accès
    • Autoriser l’accès en demandant une authentification à facteurs multiples, que le périphérique soit conforme ou joint au domaine.

    Lorsque plusieurs contrôles sont spécifiés, vous pouvez choisir de forcer l’ensemble des contrôles ou de n’en demander qu’un seul.

    Note : N’oubliez pas d’activer la stratégie pour l’application de cette dernière.

     

    L’ensemble de ces paramètres et conditions vous permettent d’adapter vos stratégies en fonction des scénarios d’usages. On peut ainsi imaginer les scénarios suivants :

    • Demander à ce que le périphérique soit conforme ou joint au domaine lorsqu’il est sur des adresses IP connues.
    • Demander à ce que le périphérique soit conforme ou joint au domaine et associer une authentification à facteurs multiples sur d’autres emplacements que ceux connus ou lorsque le périphérique effectue une connexion à risque.
    • Demander à ce que le périphérique soit conforme ou joint au domaine quel que soit l’emplacement pour certains VIP sans contraintes supplémentaires.

    • 23/2/2017
  • Windows Analytics Upgrade Compliance : Suivre les mises à jour pour les périphériques modernes Windows 10

    Microsoft a annoncé la Public Preview d’un service cloud de suivi des mises à jour et mises à niveau pour Windows 10. Update Compliance est gratuit et proposé au travers d’Operations Management Suite (OMS) et de son module Log Analytics. Il s’adresse à la gestion moderne des périphériques Windows 10 qui utilisent notamment Windows Update for Business (WUfB) ou Microsoft Update.

    La solution donne des informations sur :

    • L’état d’installation pour les mises à jour mensuelles de qualité et les mises à jour de fonctionnalité de Windows 10.
    • L’état de déploiement des mises à jour existant avec la prévisualisation des mises à jour qui vont être déployées.
    • Les périphériques qui nécessitent une attention pour résoudre des problèmes.

    Update Compliance utilise les données de télémétrie renvoyées par les clients Windows 10. Vous devez pour cela renseigner un identifiant (CommercialID) permettant au service d’identifier les données des clients de l’entreprise dans toutes les données de télémétrie.
    Je vous prépare un article prochainement sur le sujet.

    Microsoft a regroupé Update Compliance et Upgrade Readiness (précédemment Upgrade Analytics) dans un bundle appelé Windows Analytics.

    Source : https://blogs.technet.microsoft.com/upgradeanalytics/2017/02/10/announcing-public-preview-of-windows-analytics-update-compliance/

    • 22/2/2017
  • La CTP 1.3 de SQL Server vNext pour Windows et Linux est disponible

    Microsoft a publié une Community Technology Preview 1.3 de la prochaine version de SQL Server pour Windows et Linux. Cette version est directement dédiée au Cloud pour permettre de développer des applications qui seront portées sur tous les systèmes via Docker. La version finale est attendue courant 2017. On retrouvera les principales fonctionnalités de SQL Server dont les innovations en matière de cloud hybride comme Stretch Database.

    La CTP 1.3 apporte notamment l’amélioration des fonctionnalités de Haute Disponibilité et de Restauration après désastre avec l’arrivée des groupes de disponibilité Always On sur Linux. Cette arrivée permet l’utilisation de serveurs Windows et Linux au travers du même groupe de disponibilité distribué.

    En outre, on retrouve :

    • Full text search est disponible sur toutes les distributions Linux
    • Reprendre la reconstruction en ligne des indexes afin de reprendre une interruption de la construction des indexes ou séparer les reconstructions à travers plusieurs fenêtres de maintenance.
    • Support des stratégies de rétention des tables temporels.
    • Amélioration indirecte des performances de Checkpoint.
    • Paramétrage Minimum Replica Commit Availability Groups pour configurer un nombre minimum de réplicas requis pour valider une transaction.
    • Sur SQL pour Windows, l’encodage des hints dans SQL Server Analysis Services.

    De la documentation :

    Télécharger :

    • 22/2/2017
  • [Office 365] Annonces de Février (Sécurité)

    L’équipe Office vient de faire les différentes annonces relatives aux nouveautés introduites en février pour Office 365 et sa suite. On retrouve principalement des nouveautés pour la sécurité avec :

    • Office 365 Secure Score est un nouvel outil d’analyse permettant de vérifier le score de sécurité des clients vis-à-vis des configurations de sécurité recommandées.
    • Private Preview d’Office 365 Threat Intelligence : Ce dernier est un service qui utilise toutes les données proposées au travers de Microsoft intelligent Security Graph pour fournir des mécanismes permettant de se prémunir des attaques. Il fournit des informations sur les brèches et s’intègre à Exchange Online Protection et Advanced Threat Protection. La disponibilité générale est attendue pour ce trimestre dans le plan Office 365 E5.
    • Preview d’Office 365 Advanced Data Governance permet d’utiliser du Machine Learning pour assurer la gouvernance des données. Le service permet de garder une main sur les données importante tout en se débarrassant des données qui n’ont pas d’intérêt (données personnelles des employés ayant quitté l’entreprise, etc.). La disponibilité générale est attendue pour ce trimestre dans le plan Office 365 E5.

    Plus d’informations sur : https://blogs.office.com/2017/02/10/new-office-365-capabilities-helps-you-proactively-manage-security-and-compliance-risk/

    • 21/2/2017
  • [Intune] La délégation RBAC du nouveau portail

    Microsoft intègre son service Microsoft Intune au portail Microsoft Azure (Ibiza). Cette intégration a de nombreux avantages comme fournir une expérience consistante à travers tous les services mais aussi fournir les APIs adéquates (Graph API, etc.) permettant l’automatisation de certaines tâches. En outre, le nouveau portail permet une gestion plus adéquate des droits de délégation avec notamment l’utilisation du modèle Role Based Administration (RBAC).

    Le contrôle d'accès basé sur des rôles a été proposé en 1992 par Ferraiolo et Kuhn. Ce modèle a ensuite été validé en 2004 par le National Institute of Standards and Technology (NIST). Microsoft a commencé à introduire ce modèle dans l'API (Application Programming Interface) Authorization Manager de Windows XP et Windows Server 2003 SP1. Plus tard Exchange Server 2010 apporte un modèle complet permettant de gérer les différentes autorisations d'accès au service de messagerie.

    Le modèle Role-Based Administration est défini par les éléments suivants :

    • Les utilisateurs administratifs peuvent être des comptes utilisateurs ou des groupes Azure Active Directory.
    • Les rôles de sécurité donnent accès aux fonctionnalités et fonctions comme la gestion des applications, les actions à distance… Chaque rôle a des permissions spécifiques sur certains types d’objets définis au travers de classes. On retrouve les classes suivantes : DeviceConfigurations, ManagedApps, ManagedDevices, MobileApps, Organization, RemoteTasks, Roles, TelecomExpenses, TermsAndConditions. Cette liste est amenée à grossir en fonction des ajouts de fonctionnalités. Parmi les permissions disponibles, on retrouve : lecture, modification, suppression, création …
    • L'étendue de sécurité (Scope) définit les opérations qu'un administrateur peut opérer sur des classes d'objets sécurisées. Elle permet de restreindre l’accès aux groupes de périphériques ou d’utilisateurs.

    Pour accéder à la délégation, ouvrez le portail Azure et naviguez dans More Services > Intune. Ceci ouvre un tableau de bord où vous pouvez cliquer sur Access Control :

    Vous y retrouvez les différents rôles proposés. Microsoft Intune propose 4 rôles par défaut :

    • Configuration Policy Manager permet la création et le déploiement de stratégies de configuration des périphériques.
    • Help Desk Operator offre des permissions plus générales applicables aux opérateurs du HelpDesk afin d’assigner des configurations de périphérique et d’applications, , de gérer les périphériques, de déployer des applications, d’exécuter des tâches à distance (localisation, redémarrage, verrouillage, effacement, etc.) ou de voir la consommation du forfait.
    • Application Manager focalise sur le déploiement d’applications et la gestion des configurations d’applications.
    • Read Only Operator est un rôle qui offre une vision globale en lecture seule sur l’ensemble des éléments relatifs à la gestion dans Microsoft Intune.

     

    Pour assigner un utilisateur à un rôle par défaut, il vous suffit de cliquer sur ce rôle (par exemple Configuration Policy Manager) et sélectionner Assignements.

     

    Vous devez ensuite spécifier les membres correspondant aux utilisateurs administratifs associés à ce droit de sécurité. Ainsi que l’étendue (scope) sur laquelle les utilisateurs administratifs auront les droits. L’étendue peut correspondre à des groupes d’utilisateurs ou de périphériques.

     

    Pour créer ces groupes, vous devez passer par Azure Active Directory. Vous pouvez accéder à cette partie en recherchant dans More Services ou via le tableau de bord Intune en sélectionnant Manage Users.

     

    Choisissez All groups puis Add. Vous devez ensuite donner un nom et choisir le type d’appartenance parmi :

    • Assigned qui permet de choisir les utilisateurs directement.
    • Dynamic Device permettant de créer un groupe dynamique de périphériques sur la base d’attributs (domaine, attribut rooted, etc.) 
    • Dynamic User pour créer un groupe dynamique d’utilisateurs sur la base de certains attributs (UPN, etc.)

     

    Une fois les droits attribués, les utilisateurs ont accès aux espaces correspondant au rôle de sécurité et reçoit un message d’accès refusé pour les autres espaces :

     

    Outre les 4 rôles de sécurité par défaut, il est possible de créer des rôles personnalisés selon vos besoins. Prenez le cas d’utilisateurs qui peuvent uniquement mettre à jour des stratégies de configuration. Ils se voit par contre dans l’impossibilité de les créer, les supprimer ou les déployer. Pour ce faire, naviguez dans la partie Access Control et choisissez Add. Entrez un nom de rôle et cliquez sur permissions. Choisissez ensuite les permissions concernant les différentes classes comme par exemple Read et Update pour Device Configurations.

     

    Cliquez sur Ok à deux reprises puis Create pour procéder à la création. Il ne vous reste plus qu’à assigner le rôle de la même façon que nous avons le faire précédemment.

    • 21/2/2017
  • [Azure] Les annonces au 20 février 2017

    Voici le récapitulatif des annonces faites par Microsoft concernant sa plateforme Microsoft Azure.

    Parmi les annonces, on retrouve notamment :

    Azure IaaS

    Azure Active Directory

    Enterprise Mobility + Security (EMS)

    Operations Management Suite

    Update Compliance utilise les données de télémétrie renvoyées par les clients Windows 10. Vous devez pour cela renseigner un identifiant (CommercialID) permettant au service d’identifier les données des clients de l’entreprise dans toutes les données de télémétrie.
    Microsoft a regroupé Update Compliance et Upgrade Readiness (précédemment Upgrade Analytics) dans un bundle appelé Windows Analytics.

    Azure Storage

    Azure SQL

    Azure Backup

    Azure Site Recovery

    Azure Security Center

    • Azure Security Center peut maintenant automatiquement découvrir et recommander des stratégies de liste blanche pour des groupes de machines virtuelles. Il peut ensuite appliquer ces paramétrages aux machines virtuelles Windows via AppLocker.
    • Accès réseau aux machines virtuelles en mode Just-In-Time. Cette capacité permet l’ouverture temporaire de ports spécifiques (RDP, SSH, etc.) aux machines virtuelles exécutées dans le Cloud.
    • Azure Security Center permet la détection de certaines menaces comme le Brute Force, les Botnet et DDOS en sorti.
    • Azure Security Center permet l’analyse comportemental des serveurs et machines virtuelles pour mieux détecter lorsque ces dernières ont été compromises par un attaquant.

    Autres services

    • 20/2/2017
  • Un programme Windows Insider à destination des IT Pros

    C’est à l’occasion du Microsoft Ignite Australie que Microsoft a annoncé le lancement d’un programme Windows Insider dédié aux entreprises et professionnels de l’informatique.  Ce programme est véritablement dédié aux entreprises et aux IT Pros qui veulent évaluer Windows 10 et le processus de déploiement associé.

    Voici l’annonce : https://blogs.windows.com/windowsexperience/2017/02/15/making-windows-insider-program-better-pro-business-customers/#28JeUqcLdDzQhRgI.97

    S’enregistrer sur le programme WIP4Biz ou Windows Insider Program 4 B(iz)usiness

    • 20/2/2017
  • [SCOM] Publication de nouvelles versions (10909.0) de l’agent pour Nano Server

    Microsoft a publié l’agent System Center Operations Manager 2016 pour Nano Server sur Windows Server 2016. L’agent ou sa mise à jour peut être poussé par la console d’administration ou installé via le script PowerShell associé au package CAB.
    Télécharger :

    • 19/2/2017
  • [DPM] Un outil de test de la compatibilité des bandes de sauvegarde

    Microsoft a publié un outil permettant de tester la compatibilité des bandes de sauvegarde par System Center Data Protection Manager.

    Lire la documentation : Verify tape library compatibility.

    Télécharger DPM Tape Library Compatibility Test Tool

    • 19/2/2017
  • Comment Microsoft IT a adopté Windows as a Service

    Microsoft a publié un Showcase sur la façon dont Microsoft IT a adopté Windows as a Service. L’arrivée de Windows 10 demande de revoir les processus de par la fréquence et la vélocité des mises à jour.

    On apprend ainsi qu’un « pilote » de 1000 à 5000 utilisateurs font partie du programme Windows Insider. Le déploiement généralisé (tous les utilisateurs) est fait en utilisant la version Curent Branch.  Microsoft a aussi revu son processus de revue des applications et de test de compatibilité afin qu’il soit réalisé en 3 semaines !

    Le service Informatique utilise pour cela les technologies proposées par Microsoft telles que Windows Update, Windows Update for Business, System Center Configuration Manager et Windows Upgrade Services. Concernant l’usage de Windows Update for Business, Microsoft a implémenté la technologie Delivery Optimization (P2P) afin d’optimiser les transferts de manière à ce que 76% du trafic soit fait entre les PCs (le reste étant dirigé vers Internet).

    Lire Adopting Windows as a service at Microsoft

    • 18/2/2017
  • Comment se débarrasser du certificat auto signé de Remote Desktop ?

    L’équipe Ask PFE a publié un très bon article résumant comment s’affranchir des certificats auto signés utilisés par le protocole Remote Desktop. L’article revient sur les principaux points nécessaires comme le déploiement de certificats, la suppression de la régénération du certificat autosigné, etc.

    Plus d’informations sur : Removing Self-Signed RDP Certificates

    • 18/2/2017
  • Mise à jour (2.0.0) de Work Folders pour iOS

    Microsoft vient d’annoncer la mise à jour du client Work Folders sur iOS. Cette version apporte les éléments suivants :

    • Il devient possible d’uploader des fichiers
    • Vous pouvez prendre des photos et écrire des notes directement depuis l’application Work Folders.
    • Correction de bugs qui améliore la stabilité.

    Télécharger Work Folders

    Source : https://blogs.technet.microsoft.com/filecab/2017/02/13/7735/

    • 17/2/2017
  • [SCOM 2016] Un Management Pack (1.0.40.0) pour Storage Spaces Direct sur Windows Server 2016

    Microsoft a publié le Management Pack (MP) pour superviser Storage Spaces Direct sur Windows Server 2016 en version 1.0.40.0. Ce Management Pack requiert System Center Operations Manager 2016 ou plus. Pour rappel, System Center Operations Manager (SCOM) fait partie de la gamme System Center, il propose une supervision souple et évolutive de l’exploitation au niveau de toute l’entreprise, réduisant la complexité liée à l’administration d’un environnement informatique, et diminuant ainsi le coût d’exploitation. Ce logiciel permet une gestion complète des événements, des contrôles proactifs et des alertes, et assure une gestion des services de bout en bout. Il établit des analyses de tendance et des rapports, et contient une base de connaissances sur les applications et le système.

    Il faudra l’édition Windows Server 2016 Datacenter avec la KB3216755.

    Lisez le guide pour obtenir les informations nécessaires à l’implémentation de ce Management Pack.

    Télécharger Microsoft System Center 2016 Management Pack for Windows Storage Spaces Direct

    • 17/2/2017
  • [SCOM 2016] Nouvelle version (10.0.6.0) du Management Pack Cluster pour Windows Server 2016

    Microsoft vient de publier une nouvelle version (10.0.6.0) le pack d’administration ou Management Pack (MP) SCOM pour la fonctionnalité de Cluster. Cette version a complétement été réécrite pour l’arrivée de Windows Server 2016. Elle supporte Windows Server 2016 uniquement et ne fonctionne qu’avec System Center 2012 R2 Operations Manager et plus.
    Pour rappel, System Center Operations Manager (SCOM) fait partie de la gamme System Center, il propose une supervision souple et évolutive de l’exploitation au niveau de toute l’entreprise, réduisant la complexité liée à l’administration d’un environnement informatique, et diminuant ainsi le coût d’exploitation. Ce logiciel permet une gestion complète des événements, des contrôles proactifs et des alertes, et assure une gestion des services de bout en bout. Il établit des analyses de tendance et des rapports, et contient une base de connaissances sur les applications et le système.

    Cette version apporte les changements suivants :

    • Correction d’un problème où la vue affiche des cluster 2012 et 2012 R2 en même temps
    • Modification de la logique de supervision des groupes de stockage de disponibilité
    • Correction d’un problème de découverte des interfaces réseau lorsque le nom de l’interface réseau cluster a nom plus long de 40 caractères avec un tiret.
    • Correction de l’exécution des tâches Cluster Resource qui échoue si cluster.exe n’est pas installé.
    • Correction n’un problème de découverte des interfaces réseau cluster sur Windows Server 2008 Core.
    • Correction d’un problème où les interfaces réseau ne sont pas découvertes sur Windows Server 2016 Standard.
    • Correction d’un problème où les interfaces réseau ne sont pas découvertes sur Windows Server 2016 Nano.
    • Les tâches ne renvoient rien sur Windows Server 2016.
    • Correction des tâches Pause Node et Resume Node qui n’ont pas les résultats attendus.
    • Ajout du support des tâches pour les groupes de ressource avec un nom contenant un symbole WMI réservé.
    • Correction d’un problème où les ressources de cluster ne sont pas découvertes si le cluster a le rôle serveur de fichiers.
    • Correction d’un problème sur les groupes de ressource cluster qui ne peuvent être déplacer sur un autre nœud à cause d’un échec de la tâche Move Group. La logique a été changée.
    • Correction d’un problème de la tâche de diagnostique Check Cluster Group qui ne fonctionne pas sur les plateformes Windows Server 2003 ou 2008 R2 sans PowerShell et sur les versions supérieures où les cmdlets PowerShell sont présentes.
    • Correction d’un problème si le nom d’objet cluster contient des symboles WMI réservé, la supervision des objets cluster ne fonctionne pas.
    • Ajout du support des ressources avec un nom supérieur à 4000 caractères.
    • Correction d’un problème sur plusieurs tâches de ressources qui ne fonctionne pas si cluster.exe n’est pas installé

    Lisez le guide associé au Management Pack pour mettre en œuvre la supervision et activer les règles nécessaires.

    Télécharger Microsoft System Center Management Pack for Windows Server Cluster 2016

    • 16/2/2017