Jean-Sébastien DUCHENE Blog's

Actualité, Tips, Articles sur l'ensemble des Technologies Microsoft (SCCM/SMS, EMS, Microsoft Intune, Microsoft Azure, Windows 10, SCOM, MDOP...)
    • 31/5/2017

    [DPM 2012 R2] L’Update Rollup 13 de System Center 2012 R2 Data Protection Manager est disponible

    Microsoft vient de publier l’Update Rollup 13 pour System Center 2012 R2 Data Protection Manager (KB4021873). Avant d’appliquer cet UR, lisez bien les articles de la base de connaissances associés. Vous pouvez les déployer manuellement en récupérant les CAB ou via Windows Update/WSUS.

    Celui-ci corrige le problème suivant :

    • La restauration de l’emplacement de fichiers individuels pour les machines virtuelles VMware échoue pour le dernier point de restauration programmé.
    • Après la mise à jour vers l’Upgrade Rollup 12, la mise à niveau ou l’installation de l’agent de sauvegarde sur Windows 7 échoue.
    • Lors de la synchronisation d’un volume dédupliqué, les synchronisations alternatives renvoie une alerte que la synchronisation de quelques fichiers échoue, qui est résolu lors de la synchronisation suivante.

    Télécharger Update Rollup 13 for System Center 2012 R2 Data Protection Manager

    • 31/5/2017

    [SCVMM 2012 R2] L’Update Rollup 13 de System Center 2012 Virtual Machine Manager est disponible

    Microsoft vient de publier l’Update Rollup 13 pour System Center 2012 R2 Virtual Machine Manager (KB4014525). Avant d’appliquer cet UR, lisez bien les articles de la base de connaissances associés. Vous pouvez les déployer manuellement en récupérant les CAB ou via Windows Update/WSUS.

    Celui-ci corrige le problème suivant :

    • Les administrateurs de la fabrique (Delegated Administrators) ne peuvent modifier les propriétés d’une machine virtuelle qui est créée par un utilisateur de Windows Azure Pack.
    • Le Live Migration d’une machine virtuelle Hyper-V Network Virtualization (HNV) entre différents clusters échoue avec l’erreur 0x800B.
    • Les stratégies HNV ne sont pas mis à jour sur les machines virtuelles qui sont déplacée à travers Failover Cluster Manager (FCM).
    • Il n’est pas possible de se connecter à une machine virtuelle sur des réseaux indépendants basés sur des VLAN depuis l’interface graphique VMM.
    • Quand la machine de test est supprimée depuis ASR ou VMM après la vérification avec succès du test de bascule pour la réplication Hyper-V, ceci cause la suppression de tous les autres fichiers/données répliquées (qui ne sont pas relatives à la machine virtuelle de test). Pour ASR, ceci résulte dans une indication d’état critique pour les autres machines virtuelles répliquées.
    • La suppression et la restauration d’un instantanée ne supprime pas les VHDs même s’ils n’ont pas de dépendances.
    • Une machine virtuelle est affichée comme critique dans SCOM si la version WinRM est supérieure à 10.
    • Quand une machine virtuelle HNV est migrée vers un hôte dans un mode hérité, les stratégies HNV ne sont pas mis à jour ce qui cause une perte de connectivité pour la machine virtuelle.

    Télécharger

    • 31/5/2017

    [SCOM 2012 R2] L’Update Rollup 13 de System Center 2012 R2 Operations Manager est disponible

    Microsoft vient de publier l’Update Rollup 13 pour System Center 2012 R2 Operations Manager (KB4016125). Avant d’appliquer cet UR, lisez bien les articles de la base de connaissances associés. Vous pouvez les déployer manuellement en récupérant les CAB ou via Windows Update/WSUS.

    Celui-ci corrige le problème suivant :

    • Lorsqu’il y a des milliers de groupes dans un environnement SCOM, la cmdlet Get-SCOMGroup -DisplayName « group_name » échoue avec le message :
      The query processor ran out of internal resources and could not produce a query plan. This is a rare event and only expected for extremely complex queries or queries that reference a very large number of tables or partitions. Please simplify the query. If you believe you have received this message in error, contact Customer Support Services for more information.
    • Quand vous exécutez SCOM 2012 R2 dans un environnement tout en français, la colonne Date dans le rapport Custom Event apparait en blanc.
    • La tâche Enable deep monitoring using HTTP dans la console SCOM n’active pas la supervision WebSphere sur les systèmes Linux.
    • Quand vous overridez plusieurs propriétés sur des règles qui ont été créées par le Management Pack Azure, des noms d’overrides dupliqués sont créés. Ce problème engendre la perte des overrides.
    • Après que vous ayez installé l’Update Rollup 11 de SCOM 2012 R2, vous ne pouvez accéder aux vues et dashboards créés dans la partie My Workspace.
    • Quand le moniteur Heartbeat failure est initié, un message Computer Not Reachable est affiché même si l’ordinateur est en ligne.
    • La cmdlet Get-SCOMOverrideResult ne retourne pas correctement la liste des overrides effectifs.
    • Quand vous créez un Management Pack sur un client qui contient un dashboard SLA et des SLOs, les noms localisés des objets ne sont pas affichés correctement si le paramétrage CurrentCulture ne correspond pas à CurrentUICUlture.
    • La mise à jour ajoute le support d’OpenSSL 1.0.x sur les ordinateurs AIX. Avec ce changement, SCOM utilise OpenSSL 1.0.x comme version minimum par défaut supportée sur AIX. La version 0.9.x n’est plus supportée.

    Télécharger Update Rollup 13 for System Center 2012 R2 Operations Manager

    • 30/5/2017

    [Azure] Une série d’articles sur le réseau dans Microsoft Azure

    L’équipe réseau de Microsoft Azure a publié une série de billets expliquant les éléments essentiels nécessaires à la compréhension du réseau dans Microsoft Azure. On rertouve des éléments sur l’ExpressRoute, la connectivité VPN avec notamment les sujets suivants :

    • La connectivité Internet
    • Les VPN Point-to-Site et Site-to-site
    • ExpressRoute
    • Les options de connectivité Intra-Cloud
    • VNet-to-Vnet via VPN
    • VNet-to-Vnet via ExpressRoute
    • VNet-to-Vnet avec Virtual Network Peering
    • Transit VNet avec partage de Gateway
    • Transit VNet avec partage de Gateway, 1 Circuit ExpressRoute dans 2 régions
    • Transit VNet avec partage de Gateway, 2 Circuits ExpressRoute dans 2 régions
    • Transit VNet avec partage de Gateway, 3 Circuits ExpressRoute dans 3 régions
    • Transit VNet avec partage de Gateway en mode BGP et routage de transit VPN

    Lire :

    • 30/5/2017

    [Azure Backup et Azure Site Recovery] Migrer du service classique vers le service ARM

    Microsoft vient d’annoncer le lancement des migrations des coffre-forts Azure Backup et Azure Recovery classiques vers les coffre-forts Recovery Services basés sur Azure Resource Manager (ARM). La mise à niveau se fait sans perte de service, de données ou de configuration. Vous pouvez donc bénéficier des nouvelles fonctionnalités et bénéfices de Recovery Services vaults : https://azure.microsoft.com/fr-fr/blog/upgrade-classic-backup-and-siterecovery-vault-to-arm-recovery-services-vault/

    Pour procéder à la migration, vous pouvez vous enregistrer via :

    • 29/5/2017

    [Azure] Nouveau service de migration vers Azure SQL Database

    A l’occasion de Microsoft Data Amp, Microsoft vient d’annoncer la Private Preview d’un nouveau service de migration de base de données afin de rationaliser le processus de migration d’une base de données On-Premises vers Azure. Vous pouvez partir de bases de données SQL Server, Oracle, et MySQL pour cibler une base de données Azure SQL Database ou SQL Server dans une machine virtuelle Azure.

    Le workflow automatisé vous guide avec des rapports d’évaluation afin de vous donner les changements nécessaires à la migration.

    Plus d’informations sur aka.ms/sqldatabase-migrationpreview.

    Source : https://blogs.technet.microsoft.com/dataplatforminsider/2017/04/25/get-to-cloud-faster-with-a-new-database-migration-service-private-preview/

    • 29/5/2017

    [SCCM 2012/Current Branch] Désactiver SMBv1 via la gestion de conformité

    Cameron Cox (PFE System Center – MSFT) a publié un billet très complet décrivant la procédure permettant de désactiver SMBv1 des environnements via la gestion de conformité de System Center Configuration Manager. Cet article fait suite à la cyberattaque orchestrée via WannaCry et la vulnérabilité qui touche SMBv1. L’article vous permettra de :

    • Détecter facilement si SMBv1 est activé via la clé de registre
    • La remédiation permettant de désactiver SMBv1 et redémarrer le service.
    • La création de l’objet de configuration
    • La création et le déploiement de la ligne de base.

    Lire Disable SMBv1 in your environments with Configuration Manager Compliance Settings

    • 29/5/2017

    [SCOM 2012+] Version finale (6.7.28.0) du Management Pack Azure SQL Database

    Microsoft vient de publier la version finale (6.7.28.0) du Management Pack (MP) pour Azure SQL Database. Pour rappel, System Center Operations Manager (SCOM) fait partie de la gamme System Center, il propose une supervision souple et évolutive de l’exploitation au niveau de toute l’entreprise, réduisant la complexité liée à l’administration d’un environnement informatique, et diminuant ainsi le coût d’exploitation. Ce logiciel permet une gestion complète des événements, des contrôles proactifs et des alertes, et assure une gestion des services de bout en bout. Il établit des analyses de tendance et des rapports, et contient une base de connaissances sur les applications et le système.

    Ce management pack fournit les fonctionnalités suivantes :

    • Azure Resource Manager (ARM) est maintenant supporté
    • Plusieurs abonnements et plusieurs serveurs sont supportés.
    • Ajout du support de l’authentification Azure AD
    • Ajout du filtre sur l’expression régulière pour Azure SQL Database instances et Elastic Pools
    • Amélioration de l’efficacité de la supervision. La cible est maintenant définie par le Monitoring Pool.
    • Amélioration de l’assistant Add Monitoring Wizard pour refléter les nouvelles fonctionnalités.
    • Ajout de la supervision des bases de données Geo-répliquées
    • Ajout de la supervision pour l’Elastic Pools
    • Ajout de la supervision de la métrique “Average DTU utilization percentage”
    • Correction d’un problème sur plusieurs règles qui ne fonctionnent uniquement s’il n’y a plus d’1% d’espace disque disponible.
    • Amélioration des performances du Management Pack.

    Télécharger Microsoft System Center Management Pack for Microsoft Azure SQL Database

    • 28/5/2017

    Un livre blanc de Microsoft pour vous aider à l’arrivée de la GDPR

    Microsoft a publié un livre blanc qui parle de la nouvelle loi de respect de la vie privée européenne General Data Protection Regulation (GDPR). Cette dernière sera effective à partir du 25 mai 2018 contraignant les entreprises à un certain nombre d’actions relatives aux données et à la vie privée. Microsoft publie ce livre blanc car la conformité à la GDPR est une responsabilité partagée avec les éditeurs. La GDPR s’applique aux entreprises de toutes tailles et quel que soit sa localisation dès lors qu’elles sont établies dans l’Union Européenne. Les six principes suivants font partie de la loi :

    • Demander de la transparence sur la gestion et l’utilisation des données personnelles
    • Limiter le traitement des données personnelles à des fins précises et légitimes.
    • Limiter la collecte et le stockage de données personnelles aux fins prévues.
    • Permettre aux individus de corriger ou de demander la suppression de leurs données personnelles.
    • Limiter le stockage des données personnelles identifiables uniquement pendant la durée nécessaire.
    • Assurer la protection des données personnelles en utilisant les pratiques de sécurité appropriées

    Le document explique les concepts, l’approche avec le concept : Découverte, Gestion, Protection et Rapport. Microsoft présente aussi les services et produits disponibles pour gérer cette approche : Azure, Dynamics 365, EM+S, Office 365, SharePoint, SQL Server et Azure SQL Database, etc.

    Lire Beginning your GDPR Journey

    Lire Comment Microsoft EMS supporte la GDPR

    • 27/5/2017

    [Upgrade Readiness] Amélioration du traitement des données d’inventaire

    Microsoft vient d’annoncer l’amélioration du traitement des données d’inventaire pour son service Windows Analytics Upgrade Readiness proposé au travers de l’Operations Management Suite (OMS). Habituellement le délai de traitement peut être de 72 heures entre le temps d’exécution du script de déploiement et la visibilité de la machine dans le Workplace OMS. Après de nombreux retours des clients, Microsoft vient d’intégrer une nouvelle fonction (Expecting more computers ?) permettant de visualiser les machines en cours de traitement.

    Ceci est possible si vous utilisez la version 1.7 ou plus du script de déploiement et si vous avez souscrit à AppInsights. Pour accéder aux données, vous devez :

    • A partir du tableau de bord dans Upgrade Overview, cliquez sur Expecting more computers “Click here”
    • Ceci vous renvoie à la page de Solution Settings, où vous pouvez générer un rapport à partir de la section New computers being processed and Script Insights.

    Plus d’informations sur : https://blogs.technet.microsoft.com/upgradeanalytics/2017/05/12/wheres-my-data/

    • 27/5/2017

    Des statistiques intéressantes sur Azure Active Directory et la fédération d'applications tierces

    Alex Simons (Director of Program Management - Microsoft Identity Division) a publié une série d’éléments sur le succès d’Azure Active Directory. On apprend qu’en Avril, on retrouve pas moins de 6,7 millions d’utilisateurs actifs uniques qui se sont connectés sur des applications tierces via Azure AD. Ceci représente une augmentation de 10 à 12% par mois. Les utilisateurs se sont connectés sur plus de 190 000 applications tierces avec là aussi une croissance de 10 à 20 000 applications par mois.

    Parmi les principales applications tierces, on retrouve dans l’ordre :

    1. Google Apps
    2. Workday
    3. ServiceNow
    4. Comerstone OnDemand
    5. SuccessFactors
    6. Salesforce
    7. Clever
    8. Workplace by Facebook
    9. Canvas
    10. Zscaler Two
    11. Concur
    12. Box

    Ceci confirme qu’Azure Active Directory est en train de s’impose comme la principale solution IDentity as-a-Service.

    Plus d’informations sur : https://blogs.technet.microsoft.com/enterprisemobility/2017/05/01/azure-ad-and-third-party-apps-its-a-bigger-deal-than-you-might-think/

    • 26/5/2017

    [SCOM 2012 R2/2016] Nouvelle version (10.0.2.1) du Management Pack pour Active Directory

    Microsoft vient de publier une nouvelle version (10.0.2.1) le pack d’administration ou Management Pack (MP) SCOM pour Active Directory. Le Management Pack a complétement été réécrite pour l’arrivée de Windows Server 2016. Elle supporte Windows Server 2012, Windows Server 2012 R2, Windows Server 2016 et ne fonctionne qu’avec System Center 2012 R2 Operations Manager et plus.
    Pour rappel, System Center Operations Manager (SCOM) fait partie de la gamme System Center, il propose une supervision souple et évolutive de l’exploitation au niveau de toute l’entreprise, réduisant la complexité liée à l’administration d’un environnement informatique, et diminuant ainsi le coût d’exploitation. Ce logiciel permet une gestion complète des événements, des contrôles proactifs et des alertes, et assure une gestion des services de bout en bout. Il établit des analyses de tendance et des rapports, et contient une base de connaissances sur les applications et le système.

    Cette version remplace les Language Packs corrompus avec les bons Language Packs.

    La refonte du Management Pack a changé les éléments suivants :

    • Il n’y a plus de règles qui n’ont pas d’auto résolution.
    • La dépendance avec OOMADS a été retirée de tous les scripts !
    • La dépendance sur des découvertes de niveau inférieure a été supprimée

    Lisez le guide associé au Management Pack pour mettre en œuvre la supervision et activer les règles nécessaires.

    Télécharger Microsoft System Center Management Pack for ADDS

    • 26/5/2017

    [Azure] Les annonces au 26 Mai 2017

    Voici le récapitulatif des annonces faites par Microsoft concernant sa plateforme Microsoft Azure.

    Parmi les annonces, on retrouve notamment :

    General

    IaaS

    • Nouvelles tailles d’images avec un disque système de 30GB pour Windows Server 2008R2, Windows Server 2012, Windows Server 2012R2 and Windows Server 2016. Ces disques sont disponibles depuis l’Azure MarketPlace avec la mention [smalldisk]. Pour PowerShell, CLI et les modèles ARM, l’image doit être associée à la mention ‘-smalldisk’.
    • Des annonces pour SAP HANA :
      • De nouvelles machines virtuelles de Séries M propulsées par Intel® Xeon® processor E7-8890 v3 qui supportent des configurations à simple nœud avec jusqu’à 3.5 TB de mémoire.
      • Une nouvelle plage d’instances constituées d’Intel® Xeon® processor E7-8890 v4 avec une plage de mémoire de 4TB à 20TB.
      • Pour les environnements d’entrepôt de données avec des instances larges SAP HANA jusqu’à 60 TB de mémoire.

    Enterprise Mobility + Security

    Azure Active Directory

    Azure Site Recovery & Azure Backup

    Azure SQL

    • A partir du 1er Juillet 2017, SQL Data Sync ne sera disponible qu’à partir du portail Azure (et plus du portail classic). Il est donc nécessaire de migrer vers Azure SQL Data Sync 2.0. A partir du 1er Juin 2017, les groupes de synchronisation existant seront migrés. A partir du 1er Septembre 2017, le service originel sera retiré.
    • Amélioration de la technologie In-Memory OLTP dans Azure SQL Database avec :
      • L’augmentation du nombre d’indexes pour les tables optimisées en mémoire. La limitation de 8 indexes a disparu.
      • Il devient possible de renommer des objets avec la procédure stockée sp_rename.
      • La limite sur le nombre maximum de transactions qu’une transaction donnée dépend est éliminée.
      • On retrouve l’extension de nouveaux mots clés comme CASE, COMPUTED COLUMNS, CROSS APPLY.
      • Support de la procédure stockée sp_spaceused.

    Azure StorSimple

    Blockchain

    Azure Analysis Services

    • Les expressions partagées M sont affichées dans le SSDT Tabular Model Explorer.
    • Amélioration des vues DMV (Data Management View) avec DISCOVER_CALC_DEPENDENCY et MDSCHEMA_MEASUREGROUP_DIMENSIONS.
    • Edition de fichier .MSDAX permettant l’édition DAX.

    Azure Application Insights

    Autres services

    • 25/5/2017

    [EMS] Un ebook sur les capacités offertes par Enterprise Mobility + Security pour Office 365

    Microsoft a créé un ebook gratuit et assez simple présentant les principaux intérêts d’étendre l’usage d’Office 365 à la suite Enterprise Mobility + Security (EMS). Le but est d’apporter des éléments de sécurité et de gérer la mobilité omniprésente. Les sujets suivants sont abordés :

    • La sécurisation de l’accès
    • Le Single Sign-On pour Office 365 et toutes les applications
    • Protéger et gérer les identités à privilèges
    • L’ajout d’accès conditionnel basé sur le risque.
    • Protéger les applications avec ou sans enregistrement du périphérique
    • Etendre la gestion des droits Office 365 pour la collaboration
    • Gérer la collaboration avec le tracking et la révocation de fichiers
    • La sécurité avancée

    Lire Extend Office 365 management and security capabilities with EMS

    • 25/5/2017

    [SCCM/Intune] Configuration d’Android for Work

    Avec l’arrivée de System Center Configuration Manager 1702, Microsoft a annoncé le support d’Android for Work pour la gestion en mode hybride. Ce billet s’attachera donc à détailler la configuration d’Android for Work dans System Center Configuration Manager dans un mode hybride couplé à Microsoft Intune. Android for Work est un ensemble de fonctionnalités à destination des périphériques Android qui permettent de séparer les données personnelles des données professionnels en utilisant le principe d’un profil professionnel contenant les applications et données. Ce mode de gestion est apporté directement via le système Android à partir de la version 5.0 (Lollipop) et plus. Il offre une vraie couche d’administration directement intégrée dans le système Android. Pour les périphériques de version inférieur 4.x, la gestion Android conventionnel apportée par le portail d’entreprise est toujours présente.

    Le principe d’Android for Work est d’apporter une solution d’administration qui n’affecte pas l’ensemble du périphérique. Il y a une véritable séparation entre la partie personnelle et le conteneur d’entreprise (Work Profile). Toutes les applications du profil d’entreprise sont marquées avec une valise orange pour permettre la différentiation avec les applications personnelles.

    Parmi les capacités offertes par Android for Work, on retrouve :

    • Le déploiement d’applications présentes dans le Google Play Store ou des applications métiers développées en interne. Dans ce scénario, les applications sont synchronisées avec Microsoft Intune. Les applications peuvent être déployée de manière obligatoire ou en libre-service. Nous verrons cette partie dans un billet dédié.
    • La configuration d’applications en fournissant des valeurs de configuration par défaut pour les applications d’entreprise. Vous pouvez par exemple préconfigurer le nom d’un serveur qui sera utilisé lorsque l’utilisateur ouvre pour la première fois une application.
    • Les stratégies de gestion des applications mobiles (MAM) permettant d’empêcher la fuite des données pour les applications compatibles via des stratégies de restriction (copier/coller, etc.).
    • La configuration de profil email pour les applications qui le supporte (Gmail et Nine Work). Microsoft Intune fournit des modèles de configurations pour ces deux applications mais il est possible de créer des modèles personnalisés pour des applications qui supporteraient cette fonctionnalité. L’utilisation de l’accès conditionnel requiert néanmoins l’usage d’Outlook, Gmail, Nine Work ou toutes applications supportant l’authentification moderne (ADAL).
    • Le déploiement de profils VPN afin de préconfigurer le périphériques en proposant deux modèles :
      • Une configuration limitée au profil d’entreprise (Work Profile). Seule les applications Android for Work peuvent utilisée la connexion.
      • Une configuration générale qui peut initier une connexion en fonction des capacités de l’application.
    • Le déploiement de certificats est disponible de la même façon que pour la gestion conventionnelle excepté qu’Android for Work fournit des APIs de gestion étendue avec le déploiement silencieux pour l’utilisateur, la suppression complète lorsque le périphérique est retiré de la solution ou une expérience améliorée pour l’utilisateur.
    • La configuration de profils Wi-Fi permettant notamment le retrait du profil lorsque le périphérique est retiré de la solution d’administration.

    Nous assumerons que votre environnement est déjà configuré (Abonnement Microsoft Intune ajouté à ConfigMgr, etc.).

    Connectez-vous au portail Azure avec un compte administrateur. Naviguez dans Device enrollment – Android for Work Enrollment. Cliquez sur Configure pour lancer la configuration.

    Cette opération ouvre la page de création d’une organisation sur le Google Play pour Android for Work. Cliquez sur Connexion et connectez-vous avec un compte Gmail d’entreprise ou créé pour l’occasion. Ce dernier sera associé à toutes les tâches d’administration liées à Android for Work. Il sera notamment utilisé pour aller gérer, acquérir ou publier des applications dans la console Play for Work.
    Choisissez ensuite Premiers Pas. Entrez le nom de l’organisation choisi et acceptez le contrat de licences.

    Confirmez et finalisez l’inscription.

    Une fois revenu sur le portail, vous pouvez observer la liaison.

    En outre, vous devez choisir les paramètres d’enregistrement entre :

    • Gérer tous les périphériques comme des appareils Android (sans Android for Work).
    • Gérer les périphériques prenant en charge Android for Work : Ce mode de gestion est celui à choisir lorsque vous souhaitez généraliser la solution en production.
    • Gérer les périphériques prenant en charge Android for Work et uniquement les utilisateurs spécifiés : Ce mode offre la flexibilité de tester la fonctionnalité sur un nombre limité d’utilisateurs.

    Il faudra sélectionner une des deux dernières options pour permettre l’enregistrement en mode Android for Work

    Avant que la synchronisation fonctionne dans Configuration Manager, vous devez procéder à l’acquisition d’au moins une application dans le Google Play Store for Work. Dans le cas contraire, vous recevrez un statut Failed.

    Côté Configuration Manager, vous pouvez ouvrir la console d’administration et naviguez dans Administration – Overview – Cloud Services – Android for Work. Le compte apparaît dans la console. Vous pouvez initier la synchronisation des applications achetées dans le Google Play for Work en cliquant sur Sync.

    Après la première synchronisation, vous voyez apparaître les applications acquises dans la partie Software Library – Overview – Application Management – License Information for Store Apps. Vous pourrez procéder à la création de l’application dans ConfigMgr.

    • 24/5/2017

    [Windows 10 1703] Provisionner une machine (sans remasteriser) en nettoyant les applications OEM par défaut

    Avec l’arrivée de Windows 10, Microsoft proposait une nouvelle approche visant à provisionner les machines. Le but est de ne pas redéployer une image de référence et ainsi de s’affranchir de son maintien et de la gestion des drivers associés. Ceci a plusieurs bénéfices notamment avec le cycle de vie rapide de Windows 10 qui requiert de l’agilité. En outre, il permet considérablement de réduire les coûts puisqu’on s’affranchit du déploiement avec un système et des drivers à jour proposés par le fabricant OEM. Ainsi, on peut faire livrer la machine directement à l’utilisateur qui s’enregistre dans la solution d’administration afin de venir provisionner l’ensemble des éléments nécessaires à l’accès aux ressources de l’entreprise.

    La principale problématique réside dans le fait que les machines livrées par les fabricants OEM, disposent d’une série d’applications. Si vous prenez des machines du grand public, on retrouve des logiciels sponsorisés (Antivirus, outil de sauvegarde, etc.). Lorsque vous prenez des fabricants avec des séries professionnels, le nombre d’applications est limitées (logiciels éditeurs, etc.) mais toujours bien présentes. Certains fabricants (Dell, Lenovo, HP) proposent un programme Signature qui permet l’achat de machine avec l’image par défaut de Windows 10. Ce programme très intéressant se paye néanmoins.

    L’usage du scénario de provisionnement et des méthodes de gestion moderne avec les packages de provisionneIment ou des produits d’administration modernes (tels que Microsoft Intune) demandait de vivre avec ces surcouches ou de scripter l’ensemble des désinstallations. Ceci n’était pas sans limitation et limité donc la solution à un périmètre de périphérique bien défini.

    A partir de Windows 10 1703 (Creators Update), Microsoft a intégré un Configuration Service Provider (CSP) permettant d’initier un nettoyage des applications préinstallées sur le système. Ceci permet considérablement d’améliorer le scénario de provisionnement décrit précédemment.

    Il existe plusieurs méthodes permettant d’enclancher ce mécanisme :

    • Manuellement en mode de démarrage avancé, l’utilisateur peut alors lancer le nettoyage de la machine.
    • Via l’exécution de la méthode adéquate sur le CSP lorsque l’ordinateur est géré de manière moderne (MDM).
    • Via l’utilisation d’un package de provisionnement créé avec Windows Configuration Designer.

    Cet article s’attache à détailler les deux dernières méthodes et l’expérience utilisateur associée.

    Prenons une machine (HP dans cet exemple) fraichement sortie du carton après réception du fabricant. On retrouve tous les outils du fabricant ainsi que certains logiciels préinstallés (comme la suite Office).

     

    Utilisation de Windows Configuration Designer

    Commencez par vous procurer l’outil Windows Configuration Designer. Ce dernier peut être téléchargé à partir du Windows Store si vous utilisez une version anglaise du système d’exploitation ou pour les autres langues à partir de l’ADK Windows 10 (version 1703 ou plus).

    Lancez l’outil et procéder à la création d’un package de provisionnement avec le scénario Advanced Provisioning. Renseignez le nom d’un projet et sélectionnez le mode de configuration All Windows desktop editions.
    Dans la partie Available customizations, naviguez dans Runtime settings – CleanPC. Vous pouvez aussi directement chercher le mot clé clean. Vous retrouvez alors deux options :

    • CleanPCRetainingUserData permet de lancer le nettoyage des applications tout en gardant les applications.
    • CleanPCWithoutRetainingUserData permet de lancer le nettoyage des applications sans garder les applications.

    Activez un des deux paramétrages et procédez à l’export du package.

    Bien entendu, vous pouvez compléter le package avec d’autres configurations (jointure à AAD ou AD, etc.)

    Note : On retrouve le paramétrage via les assistants prédéfinis Provision desktop devices et plus particulièrement dans la première page Set up devices puis Remove pre-installed software. L’utilisation de ce mode n’offre que le scénario de nettoyage sans garder les données utilisateurs.

     

    Expérience Utilisateur

    Vous pouvez ensuite communiquer le package de provisionnement généré à un technicien ou à l’utilisateur final pour qu’il le charge directement sur la machine fraichement démarrée.

    La machine redémarre ensuite et une procédure de réinitialisation s’exécute pendant une vingtaine de minutes.

    Utilisation de Microsoft Intune

    Pour accéder à la fonctionnalité, la machine doit bien entendu être gérée avec Microsoft Intune. Vous devez ouvrir le portail d'administration Microsoft Intune dans Azure et naviguez dans Devices - All Devices.

    Sélectionnez le périphérique puis dans la partie Overview, faites More et choisissez Fresh Start.

    Expérience utilisateur finale

    A l’issue du démarrage, on retrouve un système nettoyé :

     

    Un fichier est généré sur le bureau pour lister les applications qui ont été retirées par le processus.

    • 24/5/2017

    [Windows 10 1703] Désactiver l’avis de publication de la Creators Update

    Vous l’avez peut-être remarqué, Microsoft a mis un encart dans la partie Paramétrages (Settings) – Updates and Security de Windows 10 pour annoncer l’arrivée de Windows 10 1703 (Creators Update).

    Vous pouvez désactiver cette annonce en créant la valeur de registre suivante :

    • Chemin : HKLM\SOFTWARE\Microsoft\WindowsUpdate\UX\Settings\
    • Nom de la valeur : HideMCTLink
    • Type : Reg_DWORD
    • Valeur : 1 (pour désactiver)
    • 23/5/2017

    [MDT] La TPM est en mode réduit après le déploiement de Windows 10

    Microsoft a publié un article dans la base de connaissances concernant Microsoft Deployment Toolkit (MDT) et le déploiement de Windows 10. Le problème survient dans le scénario suivant :

    • Vous utilisez n’importe quelle version de MDT qui supporte le déploiement de Windows 10.
    • Vous utilisez l’étape "Enable BitLocker (offline)" via le script ZTIBDE.wsf pour préprovisionner BitLocker dans Windows PE lors du groupe Preinstall.
    • Le déploiement s’effectue correctement.

    Dans ce scénario, la puce TPM est dans mode de fonctionnalité réduit. L’utilisation de la console de gestion TPM (TPM.Msc) renvoie notamment l’erreur suivante :

    The TPM is ready for use, with reduced functionality. Information Flags: 0x900
    The TPM owner authorization is not properly stored in the registry.
    Windows's registry information about the TPM's Storage Root Key does not match the TPM Storage Root Key or is missing.

    Ce problème survient à cause de la function TpmValidate du script ZTIBDE.wsf qui prend l’appartenance sur la puce TPM alors que ceci n’est pas nécessaire dans Windows PE. Dans ce cas, la puce TPM n’a pas les bons paramètres que Windows peut comprendre. De ce fait, les hiérarchies de clé sont désactivées et rendues indisponibles à Windows.

    Pour contourner le problème (tant que Microsoft n’a pas publié une nouvelle version de MDT), vous devez ajouter la commande suivante au script ZTIBDE.wsf au début de la section Function Main :

    reg add hklm\system\currentcontrolset\services\tpm\wmi -v UseNullDerivedOwnerAuth -t REG_DWORD -d 0x01 -f

    Note : Vous pouvez aussi ne pas préprovisionner BitLocker et attendre que le système soit déployé. Dans ce scénario, le déploiement est plus long.

    Pour les périphériques déjà déployés en mode réduit, la TPM doit être réinitialisée avec la section « Clear all the keys from the TPM » de la documentation : View status, clear, or troubleshoot the TPM.

    Source : https://support.microsoft.com/en-us/help/4018657/tpm-is-in-reduced-functionality-mode-after-successful-deployment-of-wi

    • 23/5/2017

    [OSD/SCCM/MDT] Solution de contournement pour le problème de drivers non signé de l’ADK 1703

    Michael Niehaus (MSFT) a publié une solution pour contourner le problème qui touche Windows Assessment and Deployment Kit (ADK) de Windows 10 1703. En effet, lorsqu’il est installé sur Windows 10 ou Windows Server 2016 et si vous utilisez le Secure Boot, une erreur est remontée car le driver WIMMOUNT utilisé par l’ADK n’est pas correctement signé. Le problème peut être rencontré si vous utilisez l’ADK en ligne de commande, via Microsoft Deployment Toolkit (MDT) ou via System Center Configuration Manager (SCCM).

    Microsoft travaille sur le moyen de publier une version signée du driver. En attendant, Michael a publié une solution de contournement qui revient à changer la configuration pour utiliser le driver par défaut du système. Pour cela, suivez la procédure suivante :

    • Ouvrez Regedit
    • Naviguez dans HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WIMMount
    • Editez la valeur ImagePath en system32\drivers\wimmount.sys.

    Source : https://blogs.technet.microsoft.com/mniehaus/2017/05/16/quick-workaround-for-adk-1703-issue/

    • 22/5/2017

    [SCCM/Intune] Enregistrer dans Azure AD et Microsoft Intune pour installer le client SCCM

    Le titre peut paraître saugrenu étant donné que l’enregistrement automatique dans Microsoft Intune lors de la jointure de la machine dans Azure Active Directory est un mode de gestion moderne. Le but est bien d’utiliser un mode d’enregistrement fait par l’utilisateur pour intégrer automatiquement la machine dans une solution de gestion de périphériques mobiles et transformer le mode de gestion en traditionnel via l’installation du client Configuration Manager. Voici le processus :

    1. L’utilisateur joint sa machine à Azure Active Directory et/ou Microsoft Intune.
    2. La machine Windows 10 s’enregistre dans Configuration Manager comme un périphérique mobile.
    3. L’administrateur déploie automatiquement le client Configuration Manager.

    Cette opération peut se faire dans deux modes :

    • Interne au réseau : La machine cliente doit avoir un accès à Internet et se situer sur le réseau de l’entreprise pour récupérer les sources et effectuer l’enregistrement
    • Externe au réseau : La machine cliente doit avoir un accès à Internet et vous devez avoir les infrastructures adéquates Cloud Management Gateway/Cloud Distribution Point ou Management Point/Distribution Point en DMZ. En outre, vous devez déployer le certificat provenant de votre PKI sur la machine cliente.

    A date d’écriture de cet article (Avril 2017), une machine ne peut pas être gérée à la fois via Microsoft Intune et via System Center Configuration Manager. L’installation du client ConfigMgr initie automatiquement le retrait du périphérique de Microsoft Intune.

    L’intérêt ici est de faire réaliser l’intégration au Système d’Information par l’utilisateur (concept issu de la gestion moderne) tout en bénéficiant des fonctionnalités de gestion traditionnelle (déploiement de système d’exploitation, etc.). Ceci peut avoir un intérêt si vous pensez que la gestion moderne reste encore trop légère par rapport à vos besoins d’administration.

    DISCLAIMER : Notez que la méthode décrite ici n’est pas du tout la direction que prend Microsoft. La gestion moderne s’enrichie très rapidement et le but n’est pas de mixer les usages.

    Prérequis :

    Avant de continuer cet article, vous devez valider les prérequis suivants :

    • Disposer d’une infrastructure System Center Configuration Manager Current Branch fonctionnelle.
    • Avoir configuré un abonnement Microsoft Intune
    • Disposer des licences Azure AD Premium si vous souhaitez faire l’enregistrement automatique dans Microsoft Intune lors de la jointure à Azure Active Directory.
    • Autoriser la gestion des périphériques Windows sur l’abonnement Microsoft Intune
    • Valider les prérequis de gestion moderne des périphériques Windows (Création des enregistrements DNS CNAME, etc.)
    • La machine cliente Windows 10 doit avoir un accès à Internet.
    • Si vous faites l’opération depuis l’extérieur de l’entreprise, vous devez avoir :
      • Les infrastructures adéquates : Cloud Management Gateway/Cloud Distribution Point ou Management Point/Distribution Point en DMZ
      • Déployer le certificat provenant de votre PKI sur la machine cliente

     

    Création de la collection

    Commencez par ouvrir la console d’administration et créer une collection de périphériques limitée à la collection All Mobile Devices (ou une collection similaire) avec la requête suivante afin de regrouper toutes les machines Windows 10 enregistrées dans Microsoft Intune :

    Select * from SMS_R_SYSTEM WHERE SMS_R_SYSTEM.OperatingSystemNameandVersion like “Windows 10%”

    Création et déploiement de l’application

    Une fois la collection créée, récupérez les sources MSI du client dans <Repertoire d’installation de ConfigMgr>\bin\i386\ccmsetup.msi.

    Copiez le fichier dans un partage UNC utilisé comme référence des sources d’installation.

     

    Ouvrez ensuite la console d’administration et dirigez-vous dans Software Library > Overview > Application Management > Applications. Sélectionnez Create Application. Dans l’assistant, choisissez la méthode Windows Installer through MDM (*.msi) et renseignez le chemin UNC vers le fichier MSI :

    Passez l’écran d’import des informations.

    Sur l’écran General Information, spécifiez les informations générales (Nom d’application, fabricant, etc.). La partie la plus importante consiste à renseigner les arguments de la ligne de commande d’installation via le modèle suivant :

    CCMSETUPCMD="/MP:<FQDN du Management Point> SMSMP=<FQDN du Management Point> SMSSITECODE=<SITE CODE> DNSSUFFIX=<Suffixe DNS du Management Point>"

    Par exemple :

    • En interne : CCMSETUPCMD="/MP:WT-CM-PR1.WINDOWSTOUCH.LOCAL SMSMP=WT-CM-PR1.WINDOWSTOUCH.LOCAL SMSSITECODE=PR1 DNSSUFFIX=WINDOWSTOUCH.LOCAL"
    • En externe avec la Cloud Management Gateway : CCMSETUPCMD=" /NoCRLCheck /UsePkiCert /MP:https://<FQDN du service CMG>/CCM_Proxy_MutualAuth/<MP Role ID> SMSSITECODE=PR1 CCMHOSTNAME=https://<FQDN du service CMG>/CCM_Proxy_MutualAuth/<MP Role ID>"

    Passez l’écran de résumé et procédez à la création de l’application.

     

    Vous devez ensuite distribuer le contenu de l’applications sur le point de distribution Manage.microsoft.com :

     

    Enfin, distribuez en mode requis l’application sur la collection créée pour cet effet :

     

    Optionnel : Configuration pour l’enregistrement automatique dans Microsoft Intune lors d’une jointure à Azure Active Directory

    Si vous souhaitez optimiser l’expérience utilisateur, vous pouvez configurer l’enregistrement automatique dans Microsoft Intune lors de la jointure de la machine par l’utilisateur à Azure Active Directory.

    Pour ce faire, ouvrez le portail Azure et naviguez dans More Services > Azure Active Directory > Mobility (MDM and MAM). Ajoutez l’application Microsoft Intune.

    Activez la fonctionnalité pour tous les utilisateurs ou un groupe cible. Laissez les différentes URLs configurées par défaut.

     

    Expérience utilisateur

    L’expérience utilisateur est la suivante :

    • L’utilisateur ou un intermédiaire peut joindre la machine à Azure Active Directory (si l’enregistrement automatique à Microsoft Intune a été configuré). Dans ce cas, ceci peut se faire dans l’expérience post-installation (OOBE) ou dans l’application Paramétrages (Settings) – Comptes (Accounts) – Access Work or School.
    • L’utilisateur ou un intermédiaire peut directement enregistrer la machine dans Microsoft Intune. Ceci peut se faire via l’application Paramétrages (Settings) – Comptes (Accounts) – Access Work or School.

     

    L’utilisateur se connecte via son compte Azure Active Directory :

     

    Il valide la jointure à l’organisation

     

    Dans la console d’administration, on retrouve l’enregistrement qui apparaît sous la forme d’un périphérique mobile. Après recalcul de la collection de déploiement, il est inclus dans cette dernière :

     

    Sur le poste de travail après récupération des stratégies, le registre HKLM\SOFTWARE\Microsoft\EnterpriseDesktopAppManagment\S-0-0-00…\MSI\<ID du job> fait bien apparaître l’installation du client SCCM avec les différents états :

     

    On peut aussi observer l’apparition du dossier ccmsetup dans C:\Windows

     

    Après installation du client, la console d’administration affiche le nouvel enregistrement au nom du périphérique. Ce dernier doit être approuvé puisque la machine n’est pas jointe à l’Active Directory. En outre, l’opération a procédé à la dissociation du périphérique à la gestion via Microsoft Intune. L’enregistrement n’est plus présent.

     

    Ceci est confirmé sur le client où le compte a simplement été transformé en compte d’entreprise.

     

    Vous avez vu dans cet article comment utilisé la gestion moderne et le mécanisme d’enregistrement pour initier l’installation du client SCCM à des fins de gestion traditionnelle. Ce mix hybride peut prendre du sens si vous souhaitez responsabiliser l’utilisateur tout en bénéficiant d’un mode de gestion traditionnel.

    • 22/5/2017

    Mise à jour d’Avril 2017 pour les clients Remote Desktop

    Microsoft a mis à jour les clients Remote Desktop sur les différentes plateformes : Windows 10, Android, iOS et Mac. Voici les principales nouveautés :

    • Windows 10 : Application Universelle
      • Possibilité de lancer des fichiers RDP avec l’application universelle Windows 10 en changeant l’association du type de fichier.
      • Il devient possible de contrôler l’accès aux ressources locales (presse papiers, audio, microphone).
      • Possibilité de déplacer des connexions d’un groupe à l’autre via le glisser déposer.
      • L’application utilise maintenant le clavier local lors de la connexion à un bureau à distance au lieu du clavier anglais.
    • Mac OS
      • Les utilisateurs Mac peuvent utiliser le presse papier (pasteboard) pour copier des fichiers dans la session de connexion à distance. Une limite à 2 GB existe.
    • Android
      • Meilleure expérience du clavier avec :
        • Le support des raccourcis pour les langues régionales (autre que l’anglais).
        • La synchronisation du clavier est mieux gérée
        • Le support du scancode.
      • Amélioration sur Chrome OS.

    Plus d’informations sur : https://blogs.technet.microsoft.com/enterprisemobility/2017/05/17/remote-desktop-clients-april-2017-update/

    • 21/5/2017

    L’administration unifiée d’Azure RMS/Information Protection

    Il y a quelques semaines, Microsoft annonçait enfin l’arrivée des fonctionnalités apportées par Azure Rights Management dans le nouveau portail Azure. Ces dernières sont fusionnées avec Azure Information Protection. Cette annonce constitue la première étape puisque Microsoft compte finaliser l’intégration pour Juillet. Parmi les bénéfices, on retrouve :

    • Un accès unifié à toute la configuration couplée à des processus retravaillés
    • Suppression de la nécessité d’être Global Admin. Les Security Admins peuvent créer des labels et paramétrer la protection.

    Vous pouvez retrouver l’application d’un modèle Azure RMS lors de la création ou modification d’un label via le paramétrage Protection.

     

    Plus d’informations sur : https://blogs.technet.microsoft.com/enterprisemobility/2017/04/26/azure-information-protection-unified-administration-now-in-preview/

    • 21/5/2017

    [Intune] Démarrer avec Microsoft Intune for Education

    Je vous en ai parlé à plusieurs reprises depuis Janvier, Microsoft a lancé une version spécifique de Microsoft Intune pour l’éducation. Cette version est dédiée à des environnements d’apprentissage partagés. On retrouve la séparation entre étudiants et professeurs. L’assistant Express Setup permet facilement de mettre en œuvre l’environnement en déployant les applications et paramétrages sur des groupes définis. Il permet de configurer des machines pour des tests et évaluations.
    Matt Shadbolt (MSFT) a publié un petit billet présentant comment démarrer avec Microsoft Intune for Education. Pour cela, il faut utiliser l’adresse suivant : https://intuneeducation.portal.azure.com.
    Il présente notamment l’assistant de configuration express qui montre à quel point il est rapide de configurer le service.

    Lire Getting Started with Microsoft Intune for Education

    • 20/5/2017

    [Windows 10] Où sont les Remote Server Admin Tools (RSAT) pour la Creators Update (1703) ?

    Microsoft publie les outils d’administration de serveur à distance (RSAT) pour chaque version de Windows afin d’administrer les serveurs à distance. Avec Windows 10 1703 (Creators Update), il n’y a pas de version dédiée pour cette version de Windows 10. Afin de gérer Windows 10 1703, vous devez utiliser les Remote Server Admin Tools (RSAT) pour Windows 10 1607.

    Télécharger Remote Server Administration Tools for Windows 10

    • 20/5/2017

    WannaCry : Etat des lieux, Actions à réaliser et opportunités ?

    Il y a quelques jours, une cyberattaque importante était lancée. WannaCry (un ransomware) utilisait alors une faille ZeroDay révélée quelques semaines plus tôt par un groupe de Hackers. Les entreprises touchées se sont vues chiffrées le contenu de certaines machines et serveurs de fichiers. Outre la perte de document, certaines ont été touchées sur leurs outils de production. Wannacry demandait alors de devoir payer une somme afin de pouvoir récupérer les fichiers. Dans l’état Wannacry exploite une faille du protocole SMBv1.

    Etat des lieux

    Microsoft avait publié des correctifs de sécurité depuis Mars 2017 pour les systèmes en cours de support. La proposition (Alarmante ?!) de machines utilisant des systèmes hérités tels que Windows XP ou Windows Server 2003 a forcé Microsoft à publier une mise à jour spécialement pour cette faille…

    Deux constats à avoir :

    • La faille avait été corrigée depuis deux mois, ce qui amène à penser qu’en 2017 de nombreuses entreprises ne suivent toujours le cycle de mises à jour… Les entreprises qui avaient fait le travail, ne couraient donc aucun risque bien avant la sortie de WannaCry.
    • De nombreuses entreprises utilisent encore des systèmes hérités pensant qu’une utilisation sur un réseau interne (voir dédié) limite fortement les risques. Là encore, elles ont tort.

    Actions à réaliser

    Outre le fait que le passage de la mise à jour permet de s’abstraire du risque encouru par la faille, la désactivation de SMBv1 permet aussi purement et simplement de limiter la propagation du mal. Windows 10 a fait un premier pas en avant dans ce sens mais c’est une mesure qui aurait pu être prise depuis longtemps sur les systèmes antérieurs.

    Microsoft a publié des requêtes SQL permettant d’identifier via System Center Configuration Manager, les machines vulnérables et n’ayant pas appliqué les correctifs adéquats : ConfigMgr SQL queries for helping the IT Pro report on KBs related to MS17-010

    Si vous n'avez pas Configuration Manager, Microsoft a publié un script pour ceux qui utiliseraient WSUS : Status of Update per Update ID from WSUS server

    Pour connaître la liste des mises à jour qui peuvent adresser la faille, je vous invite à lire le billet : Patches That Fix the Vulnerability For MS17-010

    On retrouve aussi un article à destination des utilisateurs des services Azure donnant des bonnes pratiques. Le cloud nous fait souvent oublier qu’il peut aussi être concerné par ce problème. Outre la mise à jour des systèmes, il propose les actions suivantes :

    • Vérifier qu’aucun point de terminaison SMB est exposé sur Internet via les ports TCP 139, TCP 445, UDP 137, UDP 138. C’est bien entendu du bon sens mais il est préférable de vérifier.
    • Désactiver SMBv1 via https://aka.ms/disablesmb1
    • Suivre l’état de conformité de mise à jour des machines avec Azure Security Center.
    • Utiliser des groupes de sécurité réseau (NSG) pour limiter l’accès réseau à vos ressources.
    • Confirmer qu’un antivirus est déployé et mis à jour.

    Notez que ces recommandations s’appliquent bien entendu à vos environnements Interne.

    La désactivation de SMBv1 peut se faire via System Center Configuration Manager et la fonctionnalité de gestion de conformité. Le blog des PFEs System Center détaille comment procéder.

    Quelles sont les opportunités ?

    Outre les actions d’urgence que vous initiez, il faut prendre cette alerte comme une opportunité. Vous êtes passé au travers du filet mais ceci peut constituer une bonne occasion de :

    • Revoir vos processus de :
      • Gestion des mises à jour logicielles
      • Gestion de crise
      • Gestion d’attaques
    • Revoir les mécanismes de sécurité par un durcissement du poste pour ceux qui sont gérés de manière traditionnelle.
    • Implémenter de nouveaux mécanismes de sécurité comme ceux proposés par Windows 10. On peut notamment à Windows Defender Advanced Threat Protection (ATP) qui permet de faire du forensic. Vous pourrez donc facilement voir d’où est venu la brèche et comment la propagation a eu lieu. On peut aussi penser à Credential Guard et Device Guard.
    • Passer à un mode de gestion moderne qui permet d’assurer un cycle de mise à jour agile. Ceci peut être notamment le cas pour des populations à fort risque (nomades, mobiles, etc.)