• [Azure Active Directory / Intune] Configurer l’accès conditionnel pour l’enregistrement dans Microsoft Intune

    Je vous en parlais dans un article précédent, une des grandes forces de la suite Entreprise Mobility + Security (EMS) est sa capacité à réaliser de l’accès conditionnel à certains services. Elle fournit une brique essentielle à la sécurisation des services de l’entreprise.

    Il est possible de créer des scénarios liés à l’enregistrement de périphériques dans Microsoft Intune. Vous pouvez par exemple demander de valider ce mécanisme par un facteur supplémentaires (Appel, SMS ou Application). C’est ce scénario que nous détaillerons ici.

    Notez que l’accès conditionnel des applications SaaS requiert une licence Azure Active Directory Premium. Si vous avez souscrit à des abonnements Microsoft Intune seul (Intune Direct A) alors cette fonctionnalité n’est pas disponible.

     

    Pour configurer l’accès conditionnel à des applications SaaS telles qu’Office 365, ouvrez le portail Azure et naviguez dans More Services > Azure Active Directory. Choisissez Conditional Access puis Add.

    Note : L’administrateur qui configure les règles d’accès conditionnel doit avoir une licence EMS E3 ou Azure Active Directory Premium assignée.

    Pour procéder à la création, vous devez d’abord choisir à quels utilisateurs vous souhaitez attribuer la règle :

    • Aucun
    • Tous les utilisateurs
    • Des utilisateurs ou des groupes spécifiques.

    Vous pouvez aussi exclure des utilisateurs de cette règle (par exemple lorsque vous choisissez de l’appliquer à tous les utilisateurs).

     

    Dans la partie Cloud apps, choisissez l’application Microsoft Intune Enrollment.

     

    Ensuite, vous pouvez choisir les conditions d’application de la règle. Ceci ne constitue pas une obligation. Si vous ne spécifiez pas de conditions, la règle s’applique pour les applications définies dans tous les cas. Sinon, vous pouvez jouer sur :

    • Le niveau de risque de la connexion. Le niveau est jugé par Azure Active Directory lorsque l’utilisateur se connecte par exemple d’un emplacement inconnu ou depuis une adresse IP malicieuse, etc.
    • Les plateformes (Android, iOS, Windows Phone, Windows). Vous pouvez cibler toutes les plateformes, des plateformes spécifiques ou en exclure certaines.
    • L’emplacement en choisissant d’appliquer quel que soit l’emplacement ou uniquement depuis des adresses IP connues.
    • Les applications clientes utilisées n’ont pas véritablement d’intérêt dans ce scénario.

     

    Enfin, vous devez terminer en choisissant les contrôles à appliquer dans les conditions définies par la règle. Vous pouvez choisir de :

    • Bloquer l’accès
    • Autoriser l’accès en demandant une authentification à facteurs multiples. Ne cochez pas les case Require compliant device ou Require domain joined devices puisqu’elles n’ont pas d’intérêt dans ce scénario.

    Note : N’oubliez pas d’activer la stratégie pour l’application de cette dernière.

    Une fois créé et activée, vous pouvez initier une tentative d’enregistrement sur un périphérique. L’application (portail d’entreprise ou application Settings de Windows Phone) vous renverra que la connexion n’est pas sécurisée :

     

    Si l’utilisateur n’avait jamais configuré les mécanismes d’authentification à facteurs multiples, il est alors invité à leur faire : Plusieurs options s’offrent à lui :

    • Recevoir un appel d’authentification
    • Recevoir un code par SMS
    • Utiliser une authentification via l’application Microsoft Authenticator. Dans ce scénario vous avez le choisir d’utiliser un code de vérification régénéré toutes les 30 secondes ou recevoir des notifications pour la vérification.

    C’est cette dernière option que nous détaillerons ici. Les deux premières méthodes requièrent du réseau. La notification via l’application Microsoft Authenticator nécessite une connexion Internet. La génération d’un code de vérification peut fonctionner sans réseau et sans accès à Internet.

    Vous devez bien entendu vous munir de Microsoft Authenticator à télécharger sur le Store iOS, Android ou Windows. Renseigner un compte professionnel ou scolaire.

    Vous pouvez ensuite lire un QR code ou renseigner un code et une URL :

    Une fois configuré, vous pouvez repasser à phase d’enregistrement. Le processus détecte que la configuration du facteur supplémentaire est faite et vous proposer de vous connecter. Lors de la connexion, vous êtes invité à valider la notification :

    Une fois validé, le processus d’enregistrement a lieu.

  • [SCCM] Le curseur n’est pas visible dans la séquence de tâches de déploiement de Windows 10

    Voici un très bon article de Frank Rojas (MSFT) concernant un comportement lors du déploiement de Windows 10 via System Center Configuration Manager. Après la phase Setup Windows and ConfigMgr si vous ouvrez une invite de commande, vous constatez qu’il n’y a pas de curseur pour la souris. Lorsque la séquence de tâches se termine, vous pouvez constater que le curseur est de retour.

    Ce comportement est voulu sur Windows 10 afin d’améliorer l’expérience d’installation et de mise à niveau. Le curseur de la souris est alors supprimé lors de la phase Windows Setup. La séquence de tâches s’exécutant dans ce mode, vous constatez la disparition du curseur.

    Pour contourner le problème, vous pouvez créer une valeur de registre afin de réactiver le curseur :

    • Clé : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
    • Nom de la valeur : EnableCursorSuppression
    • Type de la valeur : REG_DWORD
    • Valeur :
      • 1 = Activé – Le curseur est supprimé (défaut)
      • 0 = Désactivé – Le curseur n’est pas supprimé.

    Vous pouvez appliquer cette création entre la tâche Apply Operating System et Setup Windows and ConfigMgr.

    Pour plus d’informations, je vous invite à lire son billet : https://blogs.technet.microsoft.com/system_center_configuration_manager_operating_system_deployment_support_blog/2017/02/23/no-mouse-cursor-during-configmgr-osd-task-sequence/

  • [Azure AD] L’équipe produit répond à vos questions sur Reddit !

     L’équipe Azure Active Directory va proposer un événement de questions/réponses. Cet évènement sera hébergé sur Reddit le jeudi 9 mars de 19h à 22h (heure française). Ask Me Anything est une belle opportunité pour poser des questions sur Azure AD avec une réponse directe. Vous pouvez d’ores et déjà poser vos questions.

    Une seule adresse : http://aka.ms/azuread-reddit-ama

  • [SCOM 2012 R2/2016] Mise à jour (7.6.1072.0) du Management Pack pour les systèmes Unix/Linux

    Microsoft vient de publier une mise à jour du pack d’administration ou Management Pack (MP) pour la supervision des systèmes alternatifs en version 7.6.1072.0. Pour rappel, System Center Operations Manager (SCOM) fait partie de la gamme System Center, il propose une supervision souple et évolutive de l’exploitation au niveau de toute l’entreprise, réduisant la complexité liée à l’administration d’un environnement informatique, et diminuant ainsi le coût d’exploitation. Ce logiciel permet une gestion complète des événements, des contrôles proactifs et des alertes, et assure une gestion des services de bout en bout. Il établit des analyses de tendance et des rapports, et contient une base de connaissances sur les applications et le système.

    Pour rappel, voici les fonctionnalités du management pack :

    • Supervision d’AIX 5.3, 6.1 et AIX 7
    • Supervision de HP-UX 11iv2 PA-RISC, HP-UX 11iv2 IA64, HP-UX 11iv3 PA-RISC, et HP-UX 11iv3 IA64
    • Supervision de Red Hat Enterprise Linux Server 4 (x64), Red Hat Enterprise Linux Server 5 (x64) et Red Hat Enterprise Linux Server 6 (x64), Red Hat Enterprise Linux Server 7 (x64)
    • Supervision de Solaris 9, Solaris 10 et Solaris 11
    • Supervision de SUSE Linux Enterprise Server 9, SUSE Linux Enterprise Server 10 SP1, SUSE Linux Enterprise Server 11, et SUSE Linux Enterprise Server 12
    • Supervision de CentOS 5, CentOS 6, et CentOS 7
    • Supervision de Debian GNU/Linux 5, Debian GNU/Linux 6, Debian GNU/Linux 7, et Debian GNU/Linux 8
    • Supervision de Oracle Linux 5, Oracle Linux 6 et Oracle Linux 7
    • Supervision d’Ubuntu Linux Server 10.04, Ubuntu Linux Server 12.04, Ubuntu Linux Server 14.04, et Ubuntu Linux Server 16.04
    • Permet l’installation du Management Pack Cross Platform Audit Collection Services

    Télécharger System Center Monitoring Pack for UNIX and Linux Operating Systems

  • [SCSM 2012 R2] Correctif (KB3214755) pour le portail en libre-service

    Microsoft a publié un correctif pour System Center 2012 R2 Service Manager à appliquer après la mise à jour de System Center 2012 R2 Service Manager Update Rollup 8 avec le portail en libre-service Update 3 (KB3144617).

    Parmi les recommandations, on retrouve :

    • Le portail en libre-service peut ajouter le mauvais utilisateur dans les champs CreatedBy et AffectedUser quand une demande est créée. Le problème survient quand la base de données a des utilisateurs dans différents domaines mais avec un même nom d’utilisateur.
    • Les demandes qui sont créés à travers le portail en libre-service ont toujours pour champ Source de l’objet de travail configuré comme Portail et le champ Status comme nouveau. Ces valeurs sont réécrites quand un modèle ou mapping Request Offering est appliqué.
    • Le portail en libre-service n’affiche pas le nom d’utilisateur complet (comme la liste des vérificateurs pour les activités récentes et l’implementer pour les activités manuels) mais affiche uniquement les informations Domain\Username de l’utilisateur.
    • Le formulaire Request Offering crash s’il contient une liste simple vide.

    Télécharger Hotfix (KB3214755) for System Center 2012 R2 Service Manager Self Service Portal

  • [DPM 2016] Comment initier une réplication manuelle avec le stockage moderne de sauvegarde

    L’équipe DPM a publié un billet détaillant commencer initier une réplication manuelle lorsque vous utilisez du stockage moderne pour la sauvegarde (Modern Backup Storage) dans System Center Data Protection Manager 2016. Le principe est d’utiliser des fichiers VHDX pour stocker les données de stockage et ainsi supprimer la nécessité d’utiliser des disques physiques. La fonctionnalité est basée sur ReFS et sur RCT.

    Lire l’article : How to perform a manual initial replica on DPM Modern Backup Storage

  • [Azure] Les plages d’adresses IP des datacenters Allemand Microsoft Azure

     Microsoft vient de publier la liste des plages adresses IP utilisées pour ses différents Datacenters Allemand Microsoft Azure. Cette liste peut vous être utile pour configurer des exceptions firewall entre votre organisation et d’éventuelles machines présentes dans le cloud de Microsoft.

    Pour rappel, voici la liste des IPs pour les autres Datacenters.

    Télécharger Windows Azure Datacenter IP Ranges in Germany

  • [SCVMM 2016] L’Update Rollup 2.1 de System Center 2016 Virtual Machine Manager est disponible

    Microsoft a publié une nouvelle version Update Rollup 2.1 pour System Center 2016 Virtual Machine Manager. Le correctif s’applique au serveur et à la console d’administration.

    Il corrige deux problèmes :

    • Vous ne pouvez pas mettre à jour les propriétés d’un profil matériel VM pour des machines virtuelles avec de la mémoire dynamique après l’installation de l’Update Rollup 2. Cette erreur survient car la mémoire de démarrage dans la console est réinitialisée à 1 à chaque fois que vous ouvrez les propriétés de la machine virtuelle ou la mémoire dynamique est activée. Ce problème n’est lié qu’à l’affichage.
    • VMM 2016 affiche la valeur 0 GB pour Total Capacity et Available Capacity pour les serveurs de fichiers existants dans un arrays NAS.

    Pour obtenir le correctif et plus d’informations, rendez-vous sur la KB4011491 – Update Rollup 2.1 for System Center 2016 Virtual Machine Manager

    Télécharger :

  • [SCOM 2012] Le Management Pack Visual Studio Team Foundation Server 2017 est disponible (15.113.26130.0)

    L’équipe System Center vient de publier les packs d’administration (Management Pack) pour Visual Studio Team Foundation Server 2017 en version 15.113.26130.0. Il fonctionne pour System Center Operations Manager 2012, 2012 R2 et 2016. Pour rappel, System Center Operations Manager (SCOM) fait partie de la gamme System Center, il propose une supervision souple et évolutive de l’exploitation au niveau de toute l’entreprise, réduisant la complexité liée à l’administration d’un environnement informatique, et diminuant ainsi le coût d’exploitation. Ce logiciel permet une gestion complète des événements, des contrôles proactifs et des alertes, et assure une gestion des services de bout en bout. Il établit des analyses de tendance et des rapports, et contient une base de connaissances sur les applications et le système.

    Ce Management Pack supporte les fonctionnalités suivantes :

    • Découverte des composants TFS
    • Implémentation de la hiérarchie
    • Contient des tâches, diagnostique et recouverte pour certains problèmes
    • Mise à disposition de tâches de diagnostic et recouverte
    • Fournit des événements qui indiquent des indisponibilités
    • Fournit des alertes qui démontrent les problèmes de configuration et les changements sur les sources de données
    • Vérification des services dépendants

    Avant d’implémenter le Management Pack, n’oubliez pas de lire le guide et de créer un Management Pack d’overrides dédié.

    Télécharger Microsoft System Center Management Pack for Visual Studio Team Foundation Server 2017

  • Windows Analytics Update Compliance: Suivez l’état de conformité des mises à jour Windows 10 depuis le cloud

    Microsoft a annoncé la Public Preview d’un service cloud de suivi des mises à jour et mises à niveau pour Windows 10. Update Compliance est gratuit et proposé au travers d’Operations Management Suite (OMS) et de son module Log Analytics. Il s’adresse à la gestion moderne des périphériques Windows 10 qui utilisent notamment Windows Update for Business (WUfB) ou Microsoft Update.

    La solution donne des informations sur :

    • L’état d’installation pour les mises à jour mensuelles de qualité et les mises à jour de fonctionnalité de Windows 10.
    • L’état de déploiement des mises à jour existant avec la prévisualisation des mises à jour qui vont être déployées.
    • Les périphériques qui nécessitent une attention pour résoudre des problèmes.

    Note : Microsoft a regroupé Update Compliance et Upgrade Readiness (précédemment Upgrade Analytics) dans un bundle appelé Windows Analytics.

     

    Vous devez commencer par ouvrir un abonnement Microsoft Operations Management Suite (OMS) ou utiliser un abonnement existant.

    Connectez-vous au portail OMS et naviguez dans Solutions Gallery. Sélectionnez la solution Windows Analytics Update Compliance et cliquez sur Add :

     

    Vous devez ensuite activer la solution vis-à-vis de la télémétrie Windows. Ouvrez les paramétrages OMS et ouvrez Connected Sources puis Windows Telemetry. Cliquez sur Subscribe pour la solution Update Compliance :

    Note : Vous pouvez régénérer un identifiant commercial si nécessaire.

     

    Vous devez ensuite déployer l’identifiant commercial sur l’agent de télémétrie de Windows 10. Ceci permettra au service de télémétrie de Microsoft dans le Cloud d’identifier vos données lorsqu’elles sont envoyées par les clients.

    Les prérequis suivants sont nécessaires :

    • Utilisation à minima de Windows 10 1607 (Anniversary Update)
    • Configuration de la télémétrie au niveau Basic (le niveau Security ne permet pas de renvoyer assez de données).

    La configuration de l’identifiant commercial peut se faire de deux manières :

    • Utilisation de stratégies de groupe (GPO)
    • Utilisation d’une solution d’administration (MDM) telle que Microsoft Intune ou System Center Configuration Manager (SCCM).

     

    Configuration par stratégies de groupe (GPO)

    Vous pouvez créer une stratégie locale ou une stratégie de domaine. Naviguez ensuite dans Computer Configuration – Policies – Administrative Templates – Windows Components – Data Collection and Preview Builds. Identifiez le paramètre Configure the Commercial ID.

     

    Vous devez activer le paramètre et spécifier l’identifiant commercial :

    Note : vous pouvez choisir le niveau de télémétrie avec le paramètre Allow Telemetry. Spécifiez au minimum le niveau Basic (1).

    Le rechargement des stratégies sur les clients permettra l’association de l’identifiant lors de l’envoi des données de télémétrie.

     

    Configuration avec Microsoft Intune

    Ce mode de configuration s’adresse particulièrement aux périphériques gérés de manière moderne via une solution d’administration de périphériques mobiles (MDM) telle que Microsoft Intune.

    Ouvrez le portail Microsoft Intune et naviguez dans More Services – Intune. Sur le tableau de bord, sélectionnez Configure Devices.

    Dans Device Configuration – Profiles, sélectionnez ensuite Manage – Profiles puis cliquez sur Create Profile. Renseignez :

    • Le nom de la stratégie
    • La plateforme cible : Windows 10 and later
    • Le type de profil : Custom

     

    Dans Settings, choisissez Configure dans Settings et ajouter un paramétrage.
    Renseignez le nom du paramétrage et la description. Spécifiez ensuite :

    • L’OMA-URI :
      • ./Vendor/MSFT/DMClient/<NOM DE VOTRE ENTREPRISE>/CommercialID
      • Exemple : ./Vendor/MSFT/DMClient/MicrosoftTouch/CommercialID
    • Data Type : String
    • Value : l’identifiant commercial de votre organisation

    Cliquez sur Add.

    Note :  vous pouvez aussi configurer le niveau de télémétrie via le paramètre :

    • L’OMA-URI :
      • ./Vendor/MSFT/Policy/Config/System/AllowTelemetry
    • Data Type : Integer
    • Value : 1

    Cliquez sur Ok puis Create.

    Vous devez ensuite déployer le profile en cliquant sur Manage – Assigments et en sélectionnant le groupe de périphériques cibles

    Les différents rapports présents dans le portail vous permettront de valider le déploiement du paramètre :

     

    Plus généralement que ce soit par GPO ou MDM, vous pouvez valider l’application de l’iddentifiant commercial via le registre dans la clé de registre : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\DataCollection

     

    Après plusieurs jours, les données sont remontées et agrégées par le service. Vous pouvez alors voir l’apparition des données dans le portail OMS en ouvrant la solution Update Compliance.

    La première partie du tableau de bord affiche :

    • Le nombre total de périphériques
    • Le nombre de périphériques qui requièrent une attention particulière
    • La date de dernière mise à jour des données
    • L’état de mise à jour et le nombre de périphériques associés (Courant et mis à jour, mis à jour et pas à jour).

     

    La seconde partie du tableau de bord affiche des informations sur les mises à jour de qualité avec :

    • L’état global des mises à jour de qualité pour les versions de Windows 10 (à jour et non à jour)
    • L’état vis-à-vis des dernières mises à jour de sécurité (Installé, en cours d’installation ou ajourné, mis à jour en échec, état inconnus). On retrouve des tableaux par versions de Windows 10 avec le numéro de version pour les mises à jour de sécurité courante et les dernières mises à jour de sécurité.

     

    La troisième partie du tableau de bord s’adresse spécifique aux mises à jour de fonctionnalités (Builds) de Windows 10 avec :

    • L’état global des mises à jour de fonctionnalités (courant ou pas) par versions de Windows 10
    • On retrouve ensuite un découpage de l’état de déploiement par branche : Current Branch, Current Branch for Business, Long Term Servicing Branch (LTSB). Ces tableaux permet de voir le nombre de clients :
      • Installés,
      • En cours d’installation,
      • Planifiés dans les 7 prochains jours,
      • En échec,
      • Avec un état inconnu.

     

    Enfin la dernière partie du tableau de bord liste des requêtes intéressantes à exécuter sur les données pour ressortir :

    • Les échecs de déploiement de mises à jour
    • Les périphériques en attente de redémarrage afin que les mises à jour se réalisent
    • La répartition des branches par périphérique

    • Les éditions par périphérique

    • Les configurations d’ajournement pour les mises à jour de fonctionnalité ou de qualité
    • Les configurations de mise en pause pour les mises à jour de fonctionnalités ou de qualité

     

    On peut retenir que cette nouvelle solution est un bon moyen d’obtenir une console globale et simplifiée de suivi de la conformité des mises à jour pour Windows 10. Elle permettra de remonter l’état des mises à jour pour des périphériques gérés de manière traditionnelle (SCCM) ou de manière moderne (MDM / Intune).

  • [Azure] Les annonces au 2 Mars 2017

     Voici le récapitulatif des annonces faites par Microsoft concernant sa plateforme Microsoft Azure.

    Parmi les annonces, on retrouve notamment :

    General

    • Disponibilité Générale d'Azure Command Line Interface (CLI) 2.0. Cette nouvelle version intègre des commandes pour la partie VM, ACS, Storage, et Network.
    • Mise à disposition de la Technical Preview 3 d'Azure Stack apportant :
      • Le déploiement avec ADFS pour les scénarios déconnectés
      • L'utilisation d'Azure Virtual Machine Scale Sets pour gérer la monter en charge
      • La syndication du contenu à partir d'Azure MarketPlace pour le rendre disponible dans Azure Stack
      • L'utilisation des tailles de machines virtuelles de série D
      • Le déploiement et la création de modèles avec des disques temporaires qui sont consistants avec Azure.
      • L'amélioration de la sécurité avec le portail d'administration isolé.
      • Amélioration des fonctionnalités IaaS et PaaS.
      • Amélioration des fonctionnalités de gestion d'infrastructure comme l'alerting.

    En outre, on attend l’arrivée d’Azure Functions, la syndication des extensions de VM, le multi-tenant, Blockchain, Cloud Foundry et Mesos. Cette Technical Preview est la dernière avant la disponibilité générale attendue pour mi-2017.

    Azure IaaS

    • Preview d’Azure Network Watcher offrant des capacités de supervision des performances réseau et un service de diagnostic. Il permet en outre de visualiser la topologie de vos déploiements, de vérifier si un flux est autorisé ou refusé depuis ou vers votre machine virtuelle, et de vérifier le routage en cas de mauvaise configuration réseau. Vous pouvez aussi vérifier les groupes de sécurité et capture le trafic réseau d’une machine virtuelle. Enfin, on retrouve l’état de consommation vis-à-vis de vos limites d’abonnement ainsi que des journaux de diagnostic ou les flux des Network Security Group. La Preview est disponible dans les régions US West Central, Us North Central et US West.
    • Disponibilité des modèles de solution Remote Dekstop Services sur Azure Marketplace. Le but est de permettre le déploiement aisé d’environnements RDS.
    • Disponibilité Générale de Kubernetes sur Azure Container Service. Azure Container Service est un service optimisé pour les applications conteneurisées. Kubernetes devient l’un des trois choix d’Orchestrator disponible.
    • Managed Disk est disponible au Canada.

    Azure Active Directory

    Operations Management Suite

    Azure SQL

    • Disponibilité Générale de SQL Blob Auditing dans Azure SQL Database. Cette fonctionnalité remplace Table Auditing afin d’apporter de meilleures performances, des options de filtres avancées, un coût de stockage réduit, une compatibilité avec SQL Server et la détection de menaces.

    Azure Information Protection

    Azure Site Recovery

    Azure Functions

    • Preview de l’integration avec Serverless Framework. Ce dernier est un outil OpenSource populaire permettant de simplifier le déploiement et la supervision des applications sans serveurs dans le cloud.
    • Preview d’Azure Functions Proxies permettant de développer des APIs en utilisant Azure Functions.
    • Preview de l’intégration avec PowerApps et Flow.
    • Azure Functions est disponible au Canada.

    Autres services

  • [SCSM 2016] L’Update Rollup 2 de Service Manager 2016 est disponible

    Microsoft a publié l’Update Rollup 2 pour System Center 2016 Service Manager.

    Parmi les problèmes corrigés, on retrouve :

    • Le portail en libre-service peut ajouter le mauvais utilisateur dans les champs CreatedBy et AffectedUser quand une demande est créée. Le problème survient quand la base de données a des utilisateurs dans différents domaines mais avec un même nom d’utilisateur.
    • Les demandes qui sont créés à travers le portail en libre-service ont toujours pour champ Source de l’objet de travail configuré comme Portail et le champ Status comme nouveau. Ces valeurs sont réécrites quand un modèle ou mapping Request Offering est appliqué.
    • Dans le portail en libre-service, les formulaires Request Offering affiche des erreurs de validation en anglais, même lorsque la langue non anglaise est sélectionnée.
    • Le portail en libre-service n’affiche pas le nom d’utilisateur complet (comme la liste des vérificateurs pour les activités récentes et l’implementer pour les activités manuels) mais affiche uniquement les informations Domain\Username de l’utilisateur.
    • Les pages My Requests et My Activities ne se charge pas dans le portail en libre-service si les objets associés à un objet de travail ont des propriétés dupliquées qui ont le même nom à cause de l’héritage de classe.

    Télécharger Update Rollup 2 for System Center 2016 Service Manager

  • [SCCM 1610] Correctif Cumulatif (KB4010155) pour Configuration Manager 1610

    L’équipe ConfigMgr a publié un correctif cumulatif à destination de System Center Configuration Manager 1610.

    Le correctif s’applique au serveur de site, aux consoles, et aux clients. Note : les sites secondaires doivent être mis à jour manuellement et une procédure permet de vérifier la mise à jour effective de leurs bases de données.

    On retrouve en premier lieu un changement de comportement puisque les packages de mises à jour logicielles peuvent être hébergées sur des Cloud Distribution Points. Ceci permet de gérer les mises à jour tierces.

    Parmi les corrections, on retrouve :

    Client

    • Les clients Internet uniquement ne peuvent se connecter aux Management Points ou aux points de distribution lors de l’utilisation de la configuration automatique du proxy, et qu’ils changent de réseaux sans redémarrer. Cela se produit plus fréquemment sur les ordinateurs portables qui sont mis en veille lors du déplacement d’un emplacement à un autre.
      Les messages suivants sont enregistrés dans le fichier internetproxy.log lorsque l’ordinateur est actif sur le nouveau réseau :

    Couldn't find proxy information for SYSTEM or currently logged on user.
    Either system or user is using auto proxy, skip checking.
    m_pCachedProxy, HRESULT=8000ffff
    Failed to get proxy for url 'https://dc.contoso.com/ccm_system/request'. Error 0x8000ffff

    Cette condition d’erreur peut être résolue en redémarrant le service hôte de l’Agent SMS (ccmexec) ou l’ordinateur.

    • Le Content Transfer Manager du client ConfigMgr vérifie de manière répétée le contenu une fois que le client passe à un emplacement sans points de distribution disponibles. Cela peut déclencher l’augmentation de l’activité du processeur sur le client.

    Microsoft Intune et gestion des périphériques mobiles

    • Les communications entre un serveur de site Configuration Manager et le service Microsoft Intune peut échouer de façon aléatoire. Des erreurs semblables aux suivantes sont enregistrées dans le fichier dmpdownloader.log :

    ERROR: DmpDownloader:AcknowledgeMessages: Failed to acknowledge messages..
    Exception: System.AggregateException: One or more errors occurred.
    ---> Microsoft.Management.Services.Common.ServiceTooBusyException: FromAsyncWithCancel was cancelled for service: https://intune_url/StatelessConnectorService -
    Operation ID (for customer support - Operation ID (for customer support): {guid} ---> System.TimeoutException:

    • Après l’intégration de la protection contre les menaces mobiles de Lookout avec Microsoft Intune, les périphériques Windows sont incorrectement affichés dans les graphiques Device Threat Protection Compliance Status (iOS/Android) dans la Console Administrateur.

    Systèmes de site

    • Le processus Microsoft.Management.Services.ClientManagementService.Host.exe ne démarre pas si l’Identifiant de processus (PID) attribué par Windows est supérieure à 32 767. Dans ce cas, les erreurs semblables aux suivantes sont enregistrées dans le fichier SMS_DM_Enrollmentservice.log :

    Determining if CMService is up and running
    CMService is not up and running, restarting it
    ERROR: \\server_name\Source\Software Updates\OS Deployment Software Updates\{guid}\EnrollmentService\Microsoft.Management.Services.ClientManagementService.Host.exe.config does not exist.
    ERROR: Handle Exception. System.IO.DirectoryNotFoundException…

    • Après la mise à niveau vers ConfigMgr 1610, le cloud management gateway connection point  ne démarre pas. Redémarrer le service SMS Executive peut résoudre le problème. Les erreurs semblables aux suivantes sont enregistrées dans le fichier SMS_Cloud_ProxyConnnector.log :

    ERROR: Found exception Microsoft.ConfigurationManager.CommonBase.CMException: Worker assembly doesn't exist Microsoft.ConfigurationManager.CloudConnection.ProxyConnector, Version=5.0.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35.~~   at Microsoft.ConfigurationManager.TaskExecutionManager.TaskExecution.Initialize(String componentName)

    • Lorsque vous configurez SQL Server Service Broker pour un réplica de base de données, l’exécution de la procédure stockée sp_BgbConfigSSBForRemoteService échoue.
    • L’installation du Service Connection Point sur un ordinateur qui n’est pas une site serveur déclenche l’utilisation de l’UC à 100 %.

    Déploiement de système d’exploitation

    • Le déploiement de Windows 10 anniversaire Update (1607) aux clients Windows 10 déclanche une erreur « 0x80091007 » (Hash value is not correct). Même une fois que vous actualisez le contenu de l’image sur les points de distribution, des erreurs semblables aux suivantes sont enregistrées dans le fichier CAS.log.

    Raising event:
    [SMS_CodePage(437), SMS_LocaleID(1033)]
    instance of SoftDistHashMismatchEvent

    Gestion de contenu et de la distribution de logiciels

    • Le transfert du contenu du package entre les sites via des connexions réseau lentes échoue de manière intermittente.
    • Chaque fois que le contenu est envoyé à un point de distribution, les données de contrôle de site sont mises à jour inutilement. Ainsi, plusieurs composants de site se réveille pour le traitement des données.

    Console administrateur

    • Après avoir ajouté une nouvelle limite pour Default-Site-Boundary-Group, ce groupe n’est plus répertorié dans l’onglet Groupes de limites de propriétés de la frontière. Après l’installation de cette mise à jour, les limites ne peuvent être ajoutées au Default-Site-Boundary-Group.
    • Les détails des menaces individuelles ne s’affichent pas comme prévu sur l’onglet Device Threat Protection Details de l’écran des périphériques dans la console administrateur.
    • Le fichier UpdatesDeployment.log contient des erreurs semblables aux suivantes :

    Failed to get SDM CI for update (Site_{guid}/SUM_{guid}) from type store, error = 0x80070002

    Failed to GetSupersededUpdatesFromDigest for the update

    Ces erreurs n’ont aucun effet fonctionnel et peuvent être ignorés.
     

    • Une fois que vous mettez à niveau vers ConfigMgr 1610, la résolution des enregistrements en conflit échoue pour les clients de périphérique non mobile. Les erreurs semblables aux suivantes sont enregistrées dans le fichier DDM.log :

    Processing file {filename}.PDR
    CClientRegistrationRecord::LoadRecord - Client registration record does not contain all required fields.
    CDiscoverDataManager::GetRegRecord - The registration record could not be loaded.  Bad RDR.
    Failed to read registration request file.
    Moving bad file {filename}.PDR to ...\inboxes\auth\ddm.box\regreq\BAD_DDRS\{filename}.PDR.
    CDiscoverDataManager::ProcessDDRs_PS - Moved bad DDR

    Mises à jour logicielles

    • Lorsqu’un autre fournisseur de contenu rencontre une erreur ou une condition de nouvelle tentative lors du téléchargement d’un job Office 365, le client ne passe pas au système de téléchargement par défaut comme prévu.
    • Après le démarrage de l’installation de mises à jour Office à partir du centre de logiciels, les utilisateurs ne reçoivent pas un message de notification pour quitter toutes les applications Office 365. Ce problème se produit même avec le paramètre forceappshutdown = False dans le fichier Configuration.xml pour Office 365.
    • L’option Allow clients to use Microsoft Update as a fallback source ne fonctionne pas comme prévu lorsque vous l’utilisez dans un déploiement de mise à jour de logiciel ou de la règle de déploiement automatique (ADR). Les clients ne se rabat pas sur Microsoft Update.
    • Les ordinateurs qui exécutent Windows 10 1607 téléchargent de manière inattendue les mises à jour de qualité et de la fonctionnalité à partir d’Internet. Ce problème se produit si les clients utilisent ConfigMgr pour les mises à jour de logiciel et que les stratégies de groupe suivantes sont également configurés (activé ou désactivé) sous Windows Components, Windows Update, Defer Windows Updates:
    • Select when Feature Updates are received
    • Select when Quality Updates are received

    Une fois cette mise à est appliquée, un message d’erreur semblable au suivant est enregistré dans le fichier WUHandler.log lors d’une analyse de mise à jour de logiciel sur le client :

    Group Policy for Windows Update for Business is configured. Please set all Group Policy for Windows Update for Business to 'Not Configured'

     

    Pour installer la mise à jour, rendez-vous dans la partie Updates and Servicing de la console d’administration.

    Plus d’informations sur la KB4010155 Update rollup for System Center Configuration Manager current branch, version 1610