• [WSUS] Publication du .NET Framework 4.7 sur WSUS

    Microsoft a mis à disposition le 13 Juin 2017 le .NET Framework 4.7 sur Windows Server Update Services (WSUS) pour Windows 7 SP1, Windows 8.1, Windows 10 Anniversary Update (Version 1607), Windows Server 2008 R2 SP1, Windows Server 2012, Windows Server 2012 R2 et Windows Server 2016. Voici les informations concernant la publication :

    • Le .NET Framework 4.7 est une mise à jour hautement compatible avec le .NET 4, 4.5, 4.5.1, 4.5.2, 4.6, 4.6.1 et 4.6.2. Cette mise à jour ne nécessite pas de recompiler les applications écrites avec ces Frameworks précédents.
    • Le .NET Framework 4.6.1 s’installe à côté des versions du Framework inférieures à .NET 4 comme le .NET 3.5 SP1.
    • Les Language Packs seront aussi disponibles pour ces plateformes. Il sera possible de mettre à jour les précédents language packs du .NET Framework 4, 4.5, 4.5.1, 4.5.2, 4.6, 4.6.1 et 4.6.2 que ce soit pour des systèmes d’exploitation localisés ou des packs MUI.
    • La mise à jour du .NET Framework 4.7 pour Windows 7 SP1, Windows Server 2008 R2 SP1, et Windows Server 2012 embarque un vérification de la dépendance DirectX (D3DCompiler: %windir%\system32\d3dcompiler_47.dll). Ce fichier doit être présent avant que la mise à jour soit offerte sur ces plateformes. La dépendance est présente dans le Monthly Rollup de Mai 2017 :

    Windows 7 SP1 and Server 2008 R2 SP2: KB4019265

    Windows Server 2012: KB4019218

    Attention : L’équipe Exchange rappelle que les tests de compatibilité n'ont pas été réalisés entre le .NET Framework 4.7 et Exchange Server 2016 ou Exchange Server 2013.

    Pour plus de détails sur ce dernier, rendez-vous sur : https://docs.microsoft.com/en-us/dotnet/framework/whats-new/#v47

  • Arrivée prochaine de Windows Server et System Center Semi-annual Channel (Nouveautés, stratégie, etc.)

    Microsoft l’avait annoncé, Windows Server et System Center vont prendre part au cycle de vie continu déjà connu pour Windows 10 et Office 365. Parmi les annonces, on apprend :

    • System Center va suivre le même rythme de mise à jour que Windows 10, Office 365 et Windows Server.
    • Outre Nano Server, Server Core fera aussi parti du cycle continu Semi-annual Channel. Microsoft recommande l’édition Server Core pour héberger des rôles d’infrastructure ou des conteneurs Nano Server ou plus généralement pour toute charge du Datacenter. Il est d’ailleurs précisé que c’est ce qui est utilisé comme image de base pour Azure ou Azure Stack.
    • Les clients éligibles à Windows Server et System Center Semi-annual Channel sont ceux qui sont couverts par la Software Assurance ou ceux qui utilisent les services dans Azure via les images Windows Server associées.
    • Windows Server et System Center comprennent deux canaux : Long-term Servicing Channel, et Semi-annual Channel.
      • La LTSB est publiée tous les 2 ou 3 ans comme habituellement avec un support principal de 5 ans et un support étendu de 5 ans plus éventuellement 6 ans supplémentaire via la Premium Assurance.
      • Le canal Semi-annual Channel proposera deux versions par an, chacune supportée pour une durée de 18 mois. Ces versions seront publiées en Mars et Septembre de chaque année avec la nomenclature déjà connue AAMM (exemple 1803 pour Mars 2018).

    Plus d’informations sur la page : https://docs.microsoft.com/en-us/windows-server/get-started/semi-annual-channel-overview

    En outre pour Windows Server, on apprend les investissements et changements suivants :

    • Nano Server pour les conteneurs est une priorité importante pour les clients. Microsoft va donc rendre Nano Server le plus efficace pour les images en réduisant la taille de plus de 50% ainsi que le temps de démarrage. Ceci améliore la densité des conteneurs.
    • Microsoft annonce le retrait des rôles d’infrastructure de Nano Server. En lieu et place, Microsoft recommande l’utilisation de Server Core.
    • Le support natif des conteneurs et charges de travail Linux par Windows Server. On retrouvera donc l’extension des capacités d’isolation Hyper-V aux conteneurs Linux. Il ne sera plus nécessaire de déployer deux infrastructures de conteneurs différentes pour supporter des applications Windows et Linux.
    • Microsoft va porter Windows Subsystem for Linux (WSL) (ou Bash) sur Windows Server.

    Concernant System Center, la première version se focalisera sur System Center Operations Manager, Virtual Machine Manager, et Data Protection Manager avec un investissement particulier sur le support de Windows Server et Linux, une amélioration des performances, de la fiabilité et de l’extensibilité vers les services Azure. Ceci inclut :

    • Le déploiement et la gestion de la virtualisation imbriquée
    • Le support du Software Load Balancing
    • Le provisionnement du Storage Quality of Service (QoS) en mode libre-service.
    • Des tableaux de bord HTML 5 pour System Center Operations Manager
    • De meilleures performances pour Virtual Machine Manager Host Refresher.
    • Le support des environnements hétérogènes avec
      • La supervision de Linux via un agent FluentD,
      • La réduction du coût du stockage pour les sauvegardes VMware
      • La migration de ma chines virtuelles VMware basées sur un firmware UEFI vers des machines virtuelles Hyper-V de Génération 2.
    • Intégration avec les services Azure via :

    Afin de participer au programme, vous devez :

    Sources : https://blogs.technet.microsoft.com/hybridcloud/2017/06/15/delivering-continuous-innovation-with-windows-server/ & https://blogs.technet.microsoft.com/hybridcloud/2017/06/15/frequent-continuous-releases-coming-for-system-center/

  • [EMS] Résultat de la session de questions/réponses

    L’équipe Enterprise Mobility a publié le résultat de la session de questions/réponses qui a été tenue récemment. Le billet propose un compte rendu des questions et réponses avec notamment des réponses aux questions suivantes :

    • What options does Microsoft offer for managing Office mobile apps?
    • What’s the difference between MDM and MAM?
    • How can I project and manage apps on non-enrolled devices with Intune?
    • How can I configure Application Protection policies for Office Mobile Apps with Intune?
    • How can I define policies for Multi-Identity capabilities with Intune?
    • Is there a way to set up risk based policies for Conditional Access to Office apps?
    • How can I set up policies for automatic classification with Azure Information Protection?
    • What are the right set of labels for my company?
    • What actions can be triggered based on data classification?
    • Is it possible to configure policies specific to groups or departments?
    • Is there a way to bulk label existing data on file servers?
    • Is it possible to track files shared with AIP and revoke access is case of unexpected sharing?
    • Can you tell me what Enterprise Mobility Suite capabilities can be enabled from within the Office 365 admin console?
    • Can Enterprise Mobility Suite wipe data from a device if it is compromised?
    • I’d like to know how we can connect SAP applications using Azure AD, Intune? Any demo available?
    • Does MDM-WE handle activating Office apps on Mobile device automatically once user enrolls into Microsoft Intune?
    • What’s the time frame to provide Intune\Netscaler Conditional access for apps like the Intune managed browser?
    • Is leveraging Enterprise Mobility Suite on top of my current IDAM (Identity & Access Management) solution possible?
    • If we install Intune-WE on top of our MDM (Mobile Iron), login to Intune, then install Word from App Store, would Word be Auto-Activated?
    • Is it possible to have Intune client and SCCM client on a single machine and be managed by SCCM/Intune Hybrid Config?
    • Are there any good resources for getting up to speed with Intune\Graph API?
    • Can Intune be connected to all devices e.g: IoT enabled and integrated with an ERP Solution?
    • Does Azure AD recommend Best Practices for Security Policies which can be implemented without any changes?

    Lire Post Enterprise Mobility + Security Tweet Chat Q&A

  • Un guide d’évaluation de Windows Defender

    System Center Endpoint Protection (SCEP) et Windows Defender ont souvent été décriés pour la fiabilité, les retours sont variables selon les expériences. Les tests en ligne sont souvent cinglants malgré que les nombreux clients qui y sont passés, n’ont jamais repris un antivirus. La problématique des antivirus est plus globale puisqu’ils réagissent sur des signatures et ont souvent un temps de retard important sur la pandémie générée par la menace. Bien souvent, on retrouve aussi des menaces personnalisées et ciblées sur certaines entreprises. Dans ce cas de figure, les antivirus quel qu’ils soient n’ont pas de réponse.

    Microsoft propose aujourd’hui un guide permettant l’évaluation de l’antivirus Windows Defender présent nativement dans Windows 10 et Windows Server 2016.

    Télécharger le guide d’évaluation

  • Microsoft leader du Magic Quadrant 2017 sur l’Access Management

    Gartner a publié le résultat de l’étude 2017 sur l’Access Management. L’an dernier, cette étude portait le nom Identity and Access Management as a Service (IDaaS). Elle a évolué vers ce nouveau modèle et Microsoft est toujours leader avec Okta. Centrify est passé du statut de Leader à Visionnaire. On retrouve l’intégration de nouveaux acteurs : Oracle, CA Technologies, IBM, Ping Identity.

     

    Parmi les forces :

    • Microsoft a très bien réussi à vendre Azure Active Directory Premium puisqu’il est inclus d’autres offres comme les suites Office 365 ou l’Enterprise Mobility + Security ou Secure Productive Enterprise.
    • Microsoft a une présence internationale pour tous ces services et continue à utiliser ces canaux internationaux pour faire grandir l’adoption du service.
    • La stratégie de Microsoft démontre une compréhension forte des tendances du marché afin de retravailler son offre qui est souligné par le regroupement des fonctionnalités IAM, EMM, de gestion des droits etc.
    • Microsoft dispose d'un ensemble important de services et d'une clientèle très importante. L'entreprise a pu utiliser des données provenant d'une multitude de sources avec les services afin de protéger les actifs en ligne contre les menaces et transformant ces données en composants de service fonctionnel qui donnent aux clients des analyses de menaces et des contrôles d'accès contextuel.

    Parmi les faiblesses :

    • Les clients peuvent avoir besoin de composants de produits multiples pour apporter des applications non-SaaS sous une gestion commune pour donner aux utilisateurs un tableau de bord unique de leurs applications. Microsoft AD FS, Microsoft Azure AD Application Proxy et les produits de Ping Identity peuvent tous être nécessaires - ce dernier peut être utile pour les applications qui ne peuvent pas supporter facilement les normes de fédération ou la technologie de reverse-proxy.
    • Le support de Microsoft est solide pour les utilisateurs qui accèdent aux applications SaaS. Les composants B2C et B2B des offres Azure AD Premium sont relativement immatures et ne sont pas encore destinés aux acheteurs stratégiques à la recherche de fonctionnalités packagées à destination de leurs filiales.
    • Le prix du scénario moyen de Microsoft prévu pour ce Quadrant magique était l'un des plus élevés. Les clients de Gartner ont également exprimé des préoccupations au sujet du modèle de prix B2C de Microsoft, qui comprend des composants pour les utilisateurs nommés et des transactions d'authentification, ce qui rend difficile le budget pour le service, à moins que les organisations ne disposent d'estimations fiables pour ces mesures.
    • La fonctionnalité d'inscription et de connexion pour utiliser les identités des réseaux sociaux est prise en charge. Lier les identités sociales à une identité établie n'est pas encore disponible au public.

    Vous pouvez accéder au rapport sur : https://info.microsoft.com/EMS-AM-MQ-2017.html

    Source : https://blogs.technet.microsoft.com/enterprisemobility/2017/06/12/azure-ad-makes-the-leader-quadrant-in-gartners-2017-magic-quadrant-for-access-management/

  • Les mises à jour Windows Update recommandées pour Windows Embedded Standard 7 SP1, POSReady7, et ThinPC

    Microsoft a publié une liste de mises à jour recommandées pour améliorer le processus Windows Update avec Windows Embedded Standard 7 SP1, POSReady7, et ThinPC :

    La procédure suivante doit être utilisée :

    1. Arrêt du service Windows Update Agent (net stop wuauserv)
    2. Installation des KBs
    3. Répéter l’opération pour les 3 mises à jour
    4. Lancez le processus Windows Update.


    Plus d’informations sur : https://blogs.msdn.microsoft.com/windows-embedded/2017/05/24/improve-windows-update-performance-for-new-windows-embedded-image-deployments/

  • [Intune] Lookout : Aperçu de la solution et configurations préliminaires du tenant

    Microsoft s’est associé avec Lookout pour fournir une solution de sécurité visant à détecter les menaces sur les périphériques mobiles. Cette dernière s’intègre à Microsoft Intune pour remonter le niveau de menaces et l’utiliser notamment pour l’accès conditionnel aux ressources de l’entreprise.

    Lookout propose une solution prédictive basée sur des patterns. La solution dispose de plus de 100 millions de sondes (comprendre périphériques personnels ou d’entreprise) qui remontent des informations sur les applications, les systèmes, les menaces. Les données remontées sont ensuite traitées via un mécanisme de Big Data et des experts qui analysent ces données. Lookout sépare les attaques en trois grandes catégories :

    • Système d’exploitation avec le Jailbreak/Root, les vulnérabilités exploitées du système (Pegasus, Trident, etc.), les fuites de données.
    • Application avec les applications malicieuses, à risque, vulnérables et les fuites de données.
    • Réseau avec les interceptions de données (Man-In-The-Middle) et les configurations malicieuses.

    Aujourd’hui la solution est disponible pour les périphériques iOS et Android.

    Le but de cette série d’articles est de faire un tour d’horizon de l’intégration entre Microsoft Intune et Lookout avec les phases de mise en œuvre et d’exploitation.

    Avant de démarrer, vous devez disposer d’un abonnement Microsoft Intune. Lookout s’intègre à la fois à une configuration Microsoft Intune en mode autonome ou en mode hybride couplé à System Center Configuration Manager.

     

    Préparation du tenant

    Lors de la souscription à Lookout Mobile Endpoint Security, la création du tenant nécessitera certaines informations de votre tenant Azure Active Directory. Un tenant Lookout existant ne peut être utilisé pour l’intégration avec Microsoft Intune.

    Vous allez devoir fournir au support Lookout les informations suivantes :

    • L’identifiant du tenant Azure Active Directory.
    • L’identifiant objet du groupe Azure Active Directory qui aura un accès en contrôle total à la console Lookout.
    • L’identifiant objet du groupe Azure Active Directory qui aura un accès restreint à la console Lookout.

    Le premier élément peut être récupéré dans le portail Azure en naviguant dans Azure Active Directory – Properties. Vous trouverez l’identifiant dans le champ Directory ID :

    La création des groupes se fait aussi dans Azure Active Directory – Users and groups. Vous pouvez créer les groupes et y ajouter les membres. Vous pouvez ensuite obtenir l’identifiant de l’objet dans ses propriétés.

    Une fois les informations récupérées, vous pouvez les transmettre à Lookout.

     

    Configuration de l’abonnement Lookout

    Vous recevrez un email avec le lien suivant : https://aad.lookout.com/les?action=consent

    Connectez-vous avec un compte administrateur du tenant Azure AD et autorisez Lookout :

     

    Une fois autorisé, connectez-vous à cette adresse avec un membre du groupe que vous avez créé pour obtenir le contrôle total de Lookout :  https://aad.lookout.com/

    Vous ouvrez alors la console d’administration de Lookout :

     

    Naviguez dans System puis Connectors. Faites Add Connector et sélectionnez Intune :

     

    Une fois l’ajout effectué, cliquez sur Create Connector. Spécifiez en autre l’intervalle de connexion en minutes. Ce dernier permet la synchronisation des deux services pour remonter les différentes menaces.

     

    Vous devez ensuite spécifier un groupe Azure Active Directory comprenant les utilisateurs qui pourront s’enregistrer dans le service Lookout. La création du groupe se fait dans le portail Azure en naviguant dans Azure Active Directory – Users and groups.

     

    Une fois le groupe créé, vous pouvez le renseigner dans la console Lookout dans la partie Enrollment Management du connecteur Intune. Une fois que l’utilisateur ouvre l’application, le périphérique devient activé dans Lookout. Cette partie permet aussi de spécifier l’intervalle de vérification pour les nouveaux périphériques en minutes.

    Attention : Le nom est sensible à la casse ! Vous devez donc copier le nom directement depuis la console Azure Active Directory. Lookout ne valide pas les groupes avant de sauvegarder, vous devez donc vous assurer que le nom d’affichage est exact. En outre, Lookout ne supporte pas les groupes imbriqués. Il ne doit alors contenir que des utilisateurs.
    Note : Vous pouvez ajouter autant de groupes que vous le souhaitez.

     

    La partie State Sync permet d’activer à la fois la synchronisation de l’état du périphérique dans Intune ainsi que l’état des menaces :

     

    La section Managed Devices permet de voir la liste des périphériques gérés avec des problèmes.

    Enfin la dernière page Error Management permet de spécifier une adresse email utilisée pour informer si le connecteur renvoie des erreurs :

     

    Vous pouvez vérifier l’état du connecteur et les dernières synchronisation et validation d’état via le nœud Connectors :

     

    Toujours dans Systems, l’onglet Manage Admins permet d’ajouter des administrateurs. L’onglet Enrollment Settings permet de configurer le nombre de jours avant que le périphérique soit marqué comme déconnecté ainsi que la langue utilisée pour les emails de communications :

     

    Configuration de Microsoft Intune

    Une fois la partie Lookout correctement configurée, vous pouvez passer à la configuration de Microsoft Intune. Cette dernière se fait pour l’instant toujours dans le nouveau portail. Connectez-vous avec un compte disposant des droits nécessaires et naviguez dans le service Intune puis Device Compliance – Mobile Threat Defense.  Cliquez sur Add pour ajouter le connecteur Lookout for Work. Choisissez ensuite les options de configuration :

    • Connect Android 4.1+ devices to Lookout for Work MTD
    • Connect iOS 8.0+ devices to Lookout for Work MTD
    • Block unsupported OS versions pour bloquer les versions plus anciennes non supportées des systèmes
    • Définir le nombre de jours avant que le périphérique soit considéré comme non répondant/actif.

    Sauvegardez les paramètre puis validez l’état du service et la date de dernière synchronisation.

    La configuration est maintenant terminée, nous allons pouvoir passer au déploiement de l’application.

  • Disponibilité Générale de Power BI Report Server

    Microsoft vient de mettre à disposition le serveur de rapports On-Premises pour Power BI. Power BI Report Server est disponible au travers de la licence Power BI Premium. Il permet d’offrir plus de capacité aux utilisateurs pour accéder, partager et distribuer le contenu Power BI. Le but notamment de fournir un serveur On-Premises pour héberger les rapports Power BI. Le service est construit sur la technologie SQL Server Reporting Services et inclut par conséquent toutes ses capacités (comme l’exécution de rapports RDL). Outre cette publication, on retrouve le client Power BI Desktop optimisé pour Power BI Report Server.

    Télécharger :

  • [SCOM] Nouvelle Community Technical Preview (6.7.30.0) du Management Pack pour superviser SQL Server 2008, 2008 R2, 2012, 2014 et 2016

    Microsoft vient de publier une nouvelle Community Technical Preview (6.7.30.0) du pack d’administration ou Management Pack (MP) SCOM pour superviser SQL Server 2008, 2008 R2, 2012 et 2016. Il fonctionne avec SCOM 2012 SP1 ou plus. Cette nouvelle version apporte les éléments suivants :

    • Ajout d’un nouveau moniteur Availability Database Backup Status dans le groupe de disponibilité pour vérifier l’existence et l’âge des sauvegarde des bases de données (Ce moniteur est désactivé par défaut).
    • Le moniteur Database Backup Status a été changé pour retourner uniquement l’état Healthy pour les bases de données qui sont des réplicas Always On puisque les bases de données de disponibilité sont maintenant surveillées par un monteur dédié.
    • Correction d’un problème avec la vue Active Alerts qui n’affiche pas toutes les alertes.
    • Correction d’un problème où les scripts PowerShell échouent avec l’erreur "Cannot process argument because the value of argument 'obj' is null".
    • Correction d’un problème avec la description d’alerte pour les moniteurs "Disk Ready Latency" et "Disk Write Latency" affichent le nombre d’échantillions des valeurs de performance qui ont été mesurées.
    • Correction d’un problème avec les informations d’emplacement de fichiers différents de "sys.master_files" et "sysfiles" causent des erreurs quand les fichiers de base de données secondaire des groupes de disponibilités sont dans des chemins différents.
    • Correction d’un problème avec les règles "DB Transaction Log Free Space Total" renvoie de mauvaises données.
    • Introduction de mises à jour mineures pour mettre à jour des chaines d’affichage.
    • Moniteur Garbage Collection déprécié et les règles de performance appropriées. (SQL 2014/2016)
    • La découverte Resource Pool est désactivée par défaut pour les pools qui ne contiennent pas de base de données avec les tables Memory-Optimized. (SQL 2014/2016)
    • Le moniteur XTP Configuration supporte maintenant différents types de chemin (pas seulement C :, D :) (SQL 2014/2016)
    • Correction d’un problème avec la vue "Resource Pool State" qui montre incorrectement des objets. (SQL 2014/2016)

    Télécharger Microsoft System Center Management Packs (Community Technology Preview) for SQL Server

  • [Intune] Comment savoir si son compte Intune a été migré ?

    L’équipe Intune a publié un billet pour donner des éléments pour savoir si son compte Microsoft Intune a été migré. En effet lorsque vous vous connectez à la console Intune Silverlight, vous voyez apparaître un bandeau Preview the new Intune portal in Azure.

    De plus en naviguant dans Groups – Groups, vous voyez apparaître une mention Intune groups are now managed as groups in Azure Active Directory.

    Plus d’informations sur : https://blogs.technet.microsoft.com/intunesupport/2017/05/24/how-to-tell-if-your-intune-account-has-been-migrated/

  • [Intune] Disponibilité Générale du portail d’administration dans Azure

    Microsoft vient d’annoncer que la console d’administration Microsoft Intune intégrée dans le portail Azure passait en disponibilité générale. L’équipe travaille dessus depuis l’an dernier afin d’offrir une nouvelle expérience d’administration qui ne nécessite plus le composant Silverlight. Outre ces changements d’expérience pour l’administrateur, c’est l’ensemble du backend du service qui a été migré dans Azure afin d’offrir de meilleures performances et une augmentation des limitations. Plus généralement, Microsoft offre de nombreuses nouveautés et fonctionnalités comme l’automatisation via l’API Microsoft Graph, du reporting, de la délégation avec RBAC, etc.

    Pour pouvoir bénéficier de cette expérience, vous devez avoir migré votre ancien tenant vers cette nouvelle plateforme. Pour ce faire, vous devez ne pas avoir rencontré de point bloquant. Pour vérifier si votre tenant a été migré, vous pouvez utiliser l’article : How to Tell if Your Intune Account Has Been Migrated

    Si votre tenant n’a pas été migré, vous rencontrez surement un point bloquant. Pour ce faire, vous devez suivre l’un des liens suivants :

    C’est aussi la disponibilité générale de la console d’administration de l’accès conditionnel qui lui aussi a été intégré au portail Azure dans la partie Azure Active Directory. Notez aussi que Microsoft Teams peut maintenant être intégré à l’accès conditionnel.

    Source : https://blogs.technet.microsoft.com/enterprisemobility/2017/06/08/the-new-intune-and-conditional-access-admin-consoles-are-ga/

  • Microsoft visionnaire dans le Magic Quandrant 2017 sur l'Enterprise Mobility Management (EMM)

    Gartner vient de publier le résultat de l’étude 2017 sur l’Enterprise Mobility Management (EMM). Microsoft est positionné comme visionnaire démontrant que la direction prise est la bonne. Plusieurs éléments sont évalués : Les capacités sur la partie MDM, MAM, Identité Mobile, Gestion du contenu Mobile, et l’encapsulation. Microsoft a montré en moins d’un an des actions positives autour de l’Enterprise Mobility + Security (EMS), Office 365, les applications Office, Azure Information Protection, Azure Active Directory etc. Gartner souligne le travail fait par Microsoft pour migrer sa plateforme sur Azure avec tous les bénéfices associés (Interface, API, nouvelles fonctionnalités, etc.)

    Parmi les forces :

    • L’intégration avec Office 365 et notamment les applications mobiles que seul Microsoft peut gérer au travers de paramétrages de prévention pour la perte de données.
    • Le prix attractif de la solution pour les entreprises de plus de 250 utilisateurs qui ont notamment un contrat d’entreprise (EA) Microsoft.
    • L’intégration forte avec Azure AD, et les solutions Advanced Threat Protection permettant de donner des éléments de sécurité et de télémétrie.

    Parmi les faiblesses :

    • Les entreprises explique qu’il est parfois difficile de faire la configuration initiale et qu’il est recommandé d’utiliser le support FastTrack.
    • Les entreprises qui ont investi dans des produits IAM tiers doivent savoir qu’Intune ne fournit une intégration qu’avec Azure AD comme produit d’IAM.
    • Intune est disponible uniquement en service Cloud et n’offre pas de gateway On-Premises et hybride. Bien qu’il y ait un mode hybride avec ConfigMgr, les entreprises qui nécessitent une gestion locale devront se tourner vers d’autres solutions.

    Vous pouvez accéder au rapport sur : https://info.microsoft.com/EMS-EMM-MQ-2017.html

  • [Azure] Publication de la version 2 (Preview) de l’outil d’import/export des services Microsoft Azure

    Microsoft vient de proposer la version 2 en Preview de son outil qui permet d’importer/exporter des services Microsoft Azure. Il permet :

    • Avant d’importer, vous pouvez utiliser l’outil pour copier des données sur les disques durs que vous allez délivrer au Datacenter Microsoft Azure.
    • Après que l’import ait eu lieu, vous pouvez utiliser l’outil pour réparer les blobs qui sont corrompus, manquants, ou en conflits avec d’autres blob.
    • Après avoir reçu le disque, vous pouvez utiliser l’outil pour réparer des fichiers corrompus ou manquant sur le disque.

    Télécharger Download Microsoft Azure Import/Export tool V2

  • Point sur le modèle de mise à jour pour les systèmes Windows Embedded

    En octobre dernier, Microsoft présentait son nouveau modèle de mise à jour pour les systèmes antérieurs à Windows 10 (Windows 7, Windows 8, Windows Server 2008 R2, Windows Server 2012, et Windows Server 2012 R2). Ce modèle a été adaptée au fil du temps mais quand est-il des systèmes de la branche Windows Embedded ? Pour y répondre, Microsoft a publié un billet répondant aux principales questions.

    Comment les machines Windows Embedded hors ligne peuvent-elles accéder ou télécharger des correctifs cumulatifs mensuels ?
    De la même manière qu’ils consomment des mises à jour hors ligne aujourd'hui. La seule différence est qu'ils n'ont qu'à télécharger une mise à jour au lieu d’un grand nombre.

    Comment les machines Wndows Embedded hors ligne (souvent critiques) seront-elles traitées si un Correctif cumulatif mensuel entraîne un problème ?
    Microsoft s’attend à ce que les scénarios MUC hors ligne aient des tests avancés en interne avant d'être diffusés sur les périphériques. En tant que tel, nous ne prévoyons pas de situations où un retour arrière est nécessaire si des contrôles de compatibilité ont déjà été effectués sur les systèmes de test. Si un Correctif cumulatif mensuel entraîne un problème, le client devra signaler le problème à CSS. Si un correctif est émis, il serait inclus dans la prochaine mise à jour pertinente.

    Comment les machines avec des limitations de taille peuvent-elles télécharger des Correctifs cumulatifs mensuels ?
    Microsoft comprend que certaines machines ont des limitations de taille. Bien que la mise à jour de sécurité uniquement ou le Correctifs cumulatifs mensuel soient nécessaires pour être couvert pour les correctifs de sécurité essentielles pour un mois donné, Microsoft recommande d'installer le Correctifs cumulatifs mensuel car chaque mise à jour ne téléchargera que les nouvelles corrections delta (pour les clients utilisant Windows Update ou WSUS avec Le support «fichiers d'installation express» est activé). De plus, avec de nouveaux Correctifs cumulatifs mensuels qui remplacent ceux des mois précédents, le nettoyage du disque supprime les anciens Correctifs cumulatifs mensuels installés et remplacés après un certain temps (voir ci-dessous Questions pour plus de détails). En comparaison, les mises à jour de sécurité seulement (qui ne sont pas remplacées par la mise à jour ultérieure de sécurité seulement) continueront à résider sur le disque et ne seront pas remplacées si des binaires sont dans plusieurs mises à jour, ce qui consomme plus d'espace dans le temps. Veuillez noter que l'élimination des mises à jour remplacées se produit automatiquement sur des versions Windows égales ou plus récentes que Windows 8. Pour Windows 7, l'utilisateur peut appliquer le planificateur de tâches pour créer une tâche récurrente pour exécuter l'outil de nettoyage de disque.

    Plus d’informations sur l’article suivant : Windows Embedded OS Down-Level Servicing Model FAQ

  • [SCOM] Un Management Pack (1.7.1.1) pour Advanced Threat Analytics (ATA) 1.7

    Microsoft vient de publier un pack d’administration ou Management Pack (MP) SCOM en version 1.7.1.1 pour superviser Advanced Threat Analytics 1.7. Il fonctionne avec SCOM 2012 R2 ou plus. System Center Operations Manager (SCOM) fait partie de la gamme System Center, il propose une supervision souple et évolutive de l’exploitation au niveau de toute l’entreprise, réduisant la complexité liée à l’administration d’un environnement informatique, et diminuant ainsi le coût d’exploitation. Ce logiciel permet une gestion complète des événements, des contrôles proactifs et des alertes, et assure une gestion des services de bout en bout. Il établit des analyses de tendance et des rapports, et contient une base de connaissances sur les applications et le système.

    Ce management pack fournit les fonctionnalités suivantes :

    • Supervision de l’état du service ATA Center
    • Supervision de l’état du service ATA Database
    • Supervision de l’état du service ATA Gateway
    • Supervision de l’état du service ATA Gateway Updater
    • Supervision de la performance ATA Center avec les compteurs de performance clés.
    • Supervision de la performance ATA Gateway avec les compteurs de performance clés.
    • Supervision des problèmes de santé sur l’état provenant de l’ATA Health Center
    • Supervision des activités suspicieuses.

    Télécharger Microsoft Advanced Threat Analytics 1.7 Management Pack

  • [SCCM] La Technical Preview 1705 de System Center Configuration Manager est disponible

    Microsoft vient de mettre à disposition la Technical Preview 1705 (5.0.8525.1000) de System Center Configuration Manager. Pour rappel, ConfigMgr a subi une refonte de sa structure pour permettre des mises à jour aisées de la même façon que l’on peut le voir avec Windows 10. Si vous souhaitez installer cette Technical Preview, vous devez installer la Technical Preview puis utiliser la fonctionnalité Updates and Servicing (nom de code Easy Setup).

    System Center Configuration Manager TP 1705 comprend les nouveautés suivantes :

    Gestion du contenu

    • Suppression du prérequis concernant la fonctionnalité Client Peer Cache nécessitant le prérequis du compte d’accès réseau (Network Access Account) pour qu’un client utilise ce compte pour s’authentifier et effectuer la demande de téléchargement sur un autre client.

    Découverte Utilisateur et Clients

    • Enregistrement Azure Active Directory: Il est possible de créer une connexion entre Configuration Manager et Azure Active Directory de manière à installer et enregistrer le client avec une identité Azure Active Directory. Ceci s’utilise en combinaison de la Cloud Management Gateway (CMG) mais ne retire pas la nécessité d’utiliser des certificats d’authentification client pour les communications HTTPS. La ligne de commande suivante doit être utilisée : ccmsetup.exe /NoCrlCheck /Source:C:\CLIENT CCMHOSTNAME=SCCMPROXYCONTOSO.CLOUDAPP.NET/CCM_Proxy_ServerAuth/72457598037527932 SMSSiteCode=HEC AADTENANTID=<TENANT ID> AADTENANTNAME=<NOM DU TENANT> AADCLIENTAPPID= AADRESOURCEURI=https://<NM DUSERVEUR>
    • Une découverte d’utilisateur Azure Active Directory est possible pour aller chercher les utilisateurs provenant d’un tenant Azure Active Directory.

    Mise à jour logicielles et conformité

    • Il est maintenant possible de configurer et déployer des stratégies Windows Defender Application Guard. Pour rappel, WDAG est un mécanisme permettant d’exécuter Microsoft Edge dans un conteneur isolé pour exécuter les sites non connus afin d’éviter d’éventuelles attaques et exploits par ce biais.
    • Amélioration de l’expérience utilisateur pour les mises à jour Office 365 avec de nouvelles notifications, des notifications dans la bar business et une amélioration de l’expérience de compte à rebours.

    Infrastructure

    • Support des résolutions élevées (High DPI). C’était une problématique importante pour les périphériques avec des dalles à haute résolution, les assistants et la console pouvait être difficilement utilisés. Ceci est maintenant corrigé avec l’aide de Windows 10 1703.
    • Nouvel outil de réinitialisation des mises à jour (Configuration Manager Update Reset Tool) qui permet de réinitialiser et redémarrer les mises à jour quand il y a des problèmes de téléchargement ou de réplication. Il est présent dans \cd.latest\SMSSETUP\TOOLS et peut être utilisé avec la TP 1606 ou plus.
    • Support de SQL Server Always avec des réplicas secondaires qui exécutent le mode asynchronous-commit pour les scénarios de restauration après désastre.
    • L’assistant des services Azure a été mis à jour pour ajouter Operations Management Suite (OMS) et Log Analytics pour synchroniser les collections de périphériques.
    • De nouvelles cmdlets d’automatisation pour le mécanisme de mise à jour intégré (Updates and Servicing). Un nouveau paramètre -EnablePrereleaseFeature à la cmdlet Set-CMHierarchySetting a été ajouté. Sur l’ajout des cmdlets, on retrouve notamment :
      • Enable-CMSiteFeature
      • Get-CMSiteFeature.
      • Get-CMSiteUpdate.
      • Get-CMSiteUpdateHistory.
      • Get-CMSiteUpdateInstallStatus.
      • Install-CMSiteUpdate.
      • Invoke-CMSitePromotePreproductionClient.
      • Invoke-CMSiteUpdateCheck.
      • Invoke-CMSiteUpdateDownload.
      • Invoke-CMSiteUpdatePrerequisiteCheck.
    • 92 autres Cmdlets ont été ajoutées parmi lesquelles :
      • Get-CMTSStepInstallApplication
      • Get-CMTSStepInstallSoftware
      • Get-CMTSStepReboot
      • Get-CMTSStepRunCommandLine
      • Get-CMTSStepSetVariable
      • Remove-CMTSStepInstallApplication
      • Remove-CMTSStepInstallSoftware
      • Remove-CMTSStepReboot
      • Remove-CMTSStepRunCommandLine
      • Remove-CMTSStepSetVariable
      • Add-CMComplianceSettingActiveDirectoryQuery
      • Add-CMComplianceSettingAssembly
      • Add-CMComplianceSettingDirectory
      • Add-CMComplianceSettingFile
      • Add-CMComplianceSettingIisMetabase
      • Add-CMComplianceSettingRegistryKey
      • Add-CMComplianceSettingRegistryKeyValue
      • Add-CMComplianceSettingRule
      • Add-CMComplianceSettingScript
      • Add-CMComplianceSettingSqlQuery
      • Add-CMComplianceSettingWqlQuery
      • Add-CMComplianceSettingXPathQuery
      • Add-CMTaskSequenceStep
      • Enable-CMSiteFeature
      • Get-CMComplianceRule
      • Get-CMComplianceSetting
      • Get-CMSiteFeature
      • Get-CMSiteUpdate
      • Get-CMSiteUpdateHistory
      • Get-CMSiteUpdateInstallStatus
      • Get-CMTaskSequenceGroup
      • Get-CMTaskSequenceStep
      • Get-CMTaskSequenceStepCondition
      • Get-CMTSStepConditionFile
      • Get-CMTSStepConditionFolder
      • Get-CMTSStepConditionIfStatement
      • Get-CMTSStepConditionOperatingSystem
      • Get-CMTSStepConditionQueryWmi
      • Get-CMTSStepConditionRegistry
      • Get-CMTSStepConditionSoftware
      • Get-CMTSStepConditionVariable
      • Install-CMSiteUpdate
      • Invoke-CMSitePromotePreproductionClient
      • Invoke-CMSiteUpdateCheck
      • Invoke-CMSiteUpdateDownload
      • Invoke-CMSiteUpdatePrerequisiteCheck
      • New-CMComplianceRuleAssembly
      • New-CMComplianceRuleExistential
      • New-CMComplianceRuleFileFolderAttribute
      • New-CMComplianceRuleFileFolderDate
      • New-CMComplianceRuleFileFolderPermission
      • New-CMComplianceRuleFileFolderSimple
      • New-CMComplianceRuleFileFolderSize
      • New-CMComplianceRuleRegistryKeyPermission
      • New-CMComplianceRuleValue
      • New-CMComplianceRuleVersion
      • New-CMDetectionClauseDirectory
      • New-CMDetectionClauseFile
      • New-CMDetectionClauseMacBundle
      • New-CMDetectionClauseMacPackage
      • New-CMDetectionClauseRegistryKey
      • New-CMDetectionClauseRegistryKeyValue
      • New-CMDetectionClauseWindowsInstaller
      • New-CMTaskSequenceGroup
      • New-CMTSStepConditionFile
      • New-CMTSStepConditionFolder
      • New-CMTSStepConditionIfStatement
      • New-CMTSStepConditionOperatingSystem
      • New-CMTSStepConditionQueryWmi
      • New-CMTSStepConditionRegistry
      • New-CMTSStepConditionSoftware
      • New-CMTSStepConditionVariable
      • New-CMTSStepInstallApplication
      • New-CMTSStepInstallSoftware
      • New-CMTSStepReboot
      • New-CMTSStepRunCommandLine
      • New-CMTSStepSetVariable
      • Remove-CMComplianceRule
      • Remove-CMComplianceSetting
      • Remove-CMTaskSequenceGroup
      • Remove-CMTaskSequenceStep
      • Set-CMComplianceRuleAssembly
      • Set-CMComplianceRuleExistential
      • Set-CMComplianceRuleFileFolderAttribute
      • Set-CMComplianceRuleFileFolderDate
      • Set-CMComplianceRuleFileFolderPermission
      • Set-CMComplianceRuleFileFolderSimple
      • Set-CMComplianceRuleFileFolderSize
      • Set-CMComplianceRuleRegistryKeyPermission
      • Set-CMComplianceRuleValue
      • Set-CMComplianceRuleVersion
      • Set-CMComplianceSettingActiveDirectoryQuery
      • Set-CMComplianceSettingAssembly
      • Set-CMComplianceSettingDirectory
      • Set-CMComplianceSettingFile
      • Set-CMComplianceSettingIisMetabase
      • Set-CMComplianceSettingRegistryKey
      • Set-CMComplianceSettingRegistryKeyValue
      • Set-CMComplianceSettingScript
      • Set-CMComplianceSettingSqlQuery
      • Set-CMComplianceSettingWqlQuery
      • Set-CMComplianceSettingXPathQuery
      • Set-CMTaskSequenceGroup
      • Set-CMTSStepInstallApplication
      • Set-CMTSStepInstallSoftware
      • Set-CMTSStepReboot
      • Set-CMTSStepRunCommandLine
      • Set-CMTSStepSetVariable
      • Add-CMComplianceRegistrySetting
      • New-CMComplianceRule

    Il existe quelques problèmes connus :

    • Le connecteur OMS ne se met pas à jour (et n’est plus disponible dans la console). Il est nécessaire de réexécuter l’assistant Azure Services pour rétablir la connexion.
    • Les drivers de Surface ne se synchronise pas bien que le support soit spécifié dans la section What’s New. Cette fonctionnalité arrivera dans une prochaine version.
    • Il n’est pas possible de créer des stratégies d’ajournement Windows Update for Business contrairement à ce qui est spécifié dans la section What’s New. Cette fonctionnalité arrivera dans une prochaine version.

    Plus d’informations sur : https://docs.microsoft.com/en-us/sccm/core/get-started/capabilities-in-technical-preview-1705

  • [SCCM 1702] Correctif Cumulatif (KB4019926) pour Configuration Manager 1702

    L’équipe ConfigMgr a publié un correctif cumulatif à destination de System Center Configuration Manager 1702.

    Le correctif s’applique au serveur de site, aux consoles, et aux clients. Note : les sites secondaires doivent être mis à jour manuellement et une procédure permet de vérifier la mise à jour effective de leurs bases de données.

    Parmi les corrections, on retrouve :

    Microsoft Intune et gestion des périphériques mobiles

    • Les données International station mobile equipment identity (IMEI) pour les périphériques existants ne sont pas mis à jour pour les environnements connectés à Microsoft Intune quand les enregistrements de données de découverte ne sont pas traités.
    • La suppression des périphériques obsolètes ou décommissionnés qui sont remplacées lors du réenregistrement, supprime la capacité de gérer ces nouveaux périphériques. De plus, l’état de blocage/autorisation d’Exchange ne peut être changé. Ceci survient quand l’identifiant du EAS est le même pour le périphérique supprimé et remplacé. Une resynchronisation complète du connecteur Exchange restore la gestion des nouveaux périphériques.
    • Si le périphérique géré n’est pas conforme avec les stratégies d’accès conditionnel, une notification est envoyée à l’utilisateur. Si l’utilisateur ne prend pas d’action pour rendre le périphérique conforme, le périphérique se voit bloqué l’accès à Microsoft Exchange après 10 minutes. La période de 10 minutes est maintenant configurable en créant la valeur de registre sur le serveur de site :

    Registry location: HKEY_LOCAL_MACHINE\Software\Microsoft\SMS\COMPONENTS\SMS_EXCHANGE_CONNECTOR

    DWORD name: CAGracePeriodInMinutes
    DWORD value: number_of_minutes

    Systèmes de site

    • Les clients basés sur Internet peuvent ne pas analyser les mises à jour logicielles quand ils se connectent à un Software Update Point à travers la Cloud Management Gateway (CMG). Le problème survient quand la CMG rencontre une erreur interne lors de la communication avec WSUS. Les erreurs suivantes sont enregistrées dans le fichier scanagent.log :

    ScanJob({job_guid}): CScanJob::OnScanComplete -Scan Failed with Error=0x8024401f

    • La tâche Delete Orphaned Client Deployment State Records n’est pas supprimée du Central Administration Site (CAS) lors de la mise à niveau à partir de ConfigMgr 1602 vers la version suivante.
    • Les clients ne s’enregistrent pas sur des réplicas de Management Point. Les erreurs suivantes sont enregistrées dans le fichier MP_ClientIDManager.log :

    Parse a client ID request
    CMPDBConnection::ExecuteSQL(): ICommandText::Execute() failed with 0x80040E14
    =======================================
    MP_ClientIDManager
    MPDB ERROR - CONNECTION PARAMETERS
    SQL Server Name     : Server.Domain.Label
    SQL Database Name   : CM_P01_REPLICA
    Integrated Auth     : True
    MPDB ERROR - EXTENDED INFORMATION
    MPDB Method         : ExecuteSP()
    MPDB Method HRESULT : 0x80040E14
    Error Description   : Could not find stored procedure 'spGetLockState'.
    OLEDB IID           : {guid}
    ProgID              : Microsoft SQL Server Native Client 11.0
    MPDB ERROR - INFORMATION FROM DRIVER
    SQL Server Name   : {sql_server}
    Native Error no.  : 2812
    Error State       : 62
    Class (Severity)  : 16
    Line number in SP : 1

     

    Déploiement de système d’exploitation

    • A partir de Configuration Manager 1702, les ordinateurs inconnus qui démarrent à partir d’un média ou PXE ne trouve pas les séquences de tâches qui les ciblent. Ce problème survient si le bouton Previous de la page Select a task sequence to run est sélectionnée.
    • La méthode ImportMachineEntry du SDK échoue quand l’enregistrement ordinateur existe déjà, même si la propriété OverwriteExistingRecord est à True.
    • La page Data Source de la propriété d’un package de mise à niveau de système d’exploitation ne se charge pas et vous recevez l’erreur suivante :

    Notice:
    System.ArgumentOutOfRangeException
    Index was out of range. Must be non-negative and less than the size of the collection.
    Parameter name: startIndex

    • Plusieurs améliorations ont été faites au client et au moteur de séquence de tâches pour s’assurer une transition consistante dans et hors du mode de provisionnement.
    • Les périphériques Windows 10 Mobile Enterprise ne sont pas mis à niveau par des stratégies de mise à niveau de l’édition Windows 10.
    • L’opération Create Task Sequence Media peut échouer si le client Configuration Manager 1702 est installée sur l’ordinateur capturé. Si l’état de redémarrage final ne s’effectue pas, l’ordinateur peut être manuellement de redémarrage pour finaliser l’opération.
    • La séquence de tâches Install Applications échoue pour les clients Workgroup en mode HTTPS uniquement après la mise à niveau Configuration Manager 1702. De plus, on voit des erreurs comme suit dans le fichier smsts.log :

    Policy Evaluation failed, hr=0x87d00269
    MP list missing in WMI after policy evaluation

    Gestion de contenu et de la distribution de logiciels

    • Après qu’un site secondaire soit restauré, tous les packages doivent être redistribués au site secondaire si les contenus de package contiennent des métadonnées invalides.
    • Le fichier distmgr.log contient des entrées excessives pour les lecteurs passés sur les points de distribution avec plusieurs volumes quand le fichier NO_SMS_ON_DRIVE.SMS est présent. Ceci peut engendrer des problèmes pour le dépannage, les informations importantes peuvent être renvoyées très loin dans le log ou supprimées. Vous voyez des messages suivants :

    Ignoring drive E:\. File E:\NO_SMS_ON_DRIVE.SMS exists.
    Ignoring drive F:\. File F:\NO_SMS_ON_DRIVE.SMS exists.
    Ignoring drive L:\. File L:\NO_SMS_ON_DRIVE.SMS exists.
    Ignoring drive C:\. File C:\NO_SMS_ON_DRIVE.SMS exists.

    • Les applications VPP ciblées sur le périphérique qui demandent une stratégie de gestion des applications mobiles (MAM) ne sont pas installées. Le statut de déploiement est listé comme « Remediation failed » dans la console Configuration Manager.

    Console administrateur

    • Le nom d’utilisateur font driver host\umfd-# est listé comme utilisateur principal potentiel quand vous éditez l’affinité périphérique utilisateur pour les ordinateurs Windows 10 1703 (Creators Update).
    • La donnée résumée qui est affichée dans la fenêtre d’état de configuration du point de distribution est inconsistante entre un CAS et le site primaire. Cependant, le détail de la donnée est correct. Pour restaurer, le point de distribution qui a un problème, exécutez le script SQL suivant : exec spRebuildContentDistribution 1
    • L’information Device Health Attestation n’est pas mise à jour pour les clients lorsque les langages de jeu de caractères à deux octets sont utilisés. 

    Pour installer la mise à jour, rendez-vous dans la partie Updates and Servicing de la console d’administration.

     

    Plus d’informations sur la KB4019926 Update rollup for System Center Configuration Manager current branch, version 1702

  • [Office 365] Des cmdlets PowersHell pour la fonctionnalité Centralized Deployment

    Microsoft a publié un module PowerShell permettant aux administrateurs Office 365 de déployer des composants additionnels à destination des utilisateurs de l’organisation via la fonctionnalité Centralized Deployment. Le module permet l’upload, l’assignation, et la modification des composants additionnels.

    Télécharger Office 365 Centralized Deployment PowerShell

  • Comment répondre aux ransomwares avec Windows Defender Advanced Threat Protection (ATP) ?

     Microsoft a proposé un manuel permettant de voir comment répondre à une attaque de ransomwares sur les machines via la solution Windows Defender Advanced Threat Protection (ATP) proposée avec Windows 10 E5. Le playbook est articulé de la façon suivante :

    1. Découvrir le ransomware et atténuer
    2. Investiguer la réception
    3. Limiter l’incident
    4. Se protéger contre le ransomware
    5. Se rétablir de l’infection
    6. Résumé du processus de réponse

    Lire : Windows Defender Advanced Threat Protection - Ransomware response playbook

  • [Windows 10 1703] Problèmes connus avec l’écran de verrouillage

    Microsoft vient de communiquer à propos de deux problèmes connus concernant l’écran de verrouillage dans Windows 10 1703 (Creators Update).

    Le premier concerne le paramétrage « Force a specific default lock screen image » sous Computer Configuration\Administrative Templates\Control Panel\Personalization. Il semble que l’activation, le changement ou la mise à jour ne fonctionne pas lorsque la stratégie « Prevent changing lock screen and logon image » est aussi activée.

    Un correctif est attendu pour l’un des prochains cumulatifs mensuels. La solution de contournement revient à paramétrer « Prevent changing lock screen and logon image » à Disabled ou Not Configured puis de faire la mise à jour pour ensuite rebloquer.

    Le second problème survient lorsque les paramétrages d’animations sont changés. Dans ce cas de figure, l’écran de verrouillage est noir. Ces changements ont lieu dans Advance System Settings, Settings puis Performance puis que la case Animate window minimizing and maximizing est décochée. Il survient aussi lorsque le paramètre de stratégie Do not allow Windows animations est activé sous Computer Configuration\Windows Components\Desktop Windows Manager.

    Pour corriger ce problème, il faut soit cocher la case soit désactiver la stratégie. Le problème était déjà présent dans la version 1607 mais corrigé dans le correctif cumulatif de Février. Il semble que ce dernier soit de retour dans Windows 10 1703.

    Source : https://blogs.technet.microsoft.com/kimberj/2017/05/05/known-lock-screen-issues-with-creators-update-1703/

  • [Windows Server 2016] Un guide pour l’optimisation des performances

    Microsoft a publié un guide pour l’optimisation des performances sur Windows Server 2016. Ce guide donne des informations pratiques à destination des professionnels de l’informatique et administrateurs de serveur pour le tuning des performances sur les rôles par défaut.

    On retrouve notamment :

    Lire Windows Server 2016 Performance Tuning Guide

  • [SCOM 2012+] Mise à jour (1705) du Management Pack pour superviser l’Operations Management Suite (OMS)

    Daniele Grandini (MVP) a mis à jour (1705) son Management Pack pour l’Operations Management Suite (OMS) afin de superviser les éléments via System Center Operations Manager.

    Cette version ajoute des moniteurs pour traquer si un agent ne renvoie pas certains types de données (Performance, Sécurité).

    Pour rappel, on retrouve :

    Azure Log Analytics :

    • Les systèmes qui ne renvoient pas de données
    • La supervision des alertes génériques

    Azure Backup :

    • Supervision de l’âge des points de restauration
    • Le taux d’échec des Jobs
    • Les jobs de sauvegarde avec un temps d’exécution long

    Azure Backup Server :

    • Supervision d’Azure Backup Server comme un serveur DPM standard

    Azure Automation :

    • Etat d’exécution des runbooks
    • Les runbooks avec une programmation ratée
    • L’expiration du Wbhook
    • Les runbooks avec un temps d’exécution allongé.

    Plus d’informations sur : https://nocentdocent.wordpress.com/2016/06/03/announcing-msoms-management-pack/

    Télécharger OMS-Management Pack

  • [SCCM CB] Un script d’injection des certificats générés par une autorité de certification Microsoft pour qu’ils soient déployés

    L’équipe ConfigMgr a publié un script PowerShell permettant d’injecter des certificats générés par une autorité de certification Microsoft pour qu’ils soient déployés sur des périphériques par System Center Configuration Manager. Il existe différentes méthodes permettant de déployer des certificats sur les périphériques dont :

    • Le déploiement de certificats d’autorité racine
    • Le déploiement de certificats générés via le protocole Simple Certificate Enrollment Protocol (SCEP).
    • Le déploiement de certificats PFX à destination d’utilisateurs pré-générés à importer manuellement dans ConfigMgr. C'est de cette méthode que nous parlons.

    Vous devez fournir une liste d’utilisateurs, fournir le nom de l’autorité de certification, le chemin d’export pour les fichiers PFX, le nom du modèle, le code de site, le mot de passe utilisé pour générer les fichiers PFX. Exemple :

    Get-ADUser -Filter * | %{ Export-CMPfxCertificatesFromCa -CertificationAuthority ".\CertificateAuthority" -OutputPath "C:\Certs" -User "$($(Get-ADDomain).Name)\$($_.SamAccountName)" -TemplateName "PFXEncrypt" -Password "BadPassword" -ProfileName "cp-import" -SiteCode "VES" -ExpiresAfter "4/20/14" } 

    Vous pouvez ensuite exécuter le script Import.ps1 afin d’importer les fichiers PFX.

    Le compte doit avoir les permissions suivantes :

    • Accès à l’autorité de certification Microsoft.
    • Exécuter la cmdlet PowerShell Import-CMClientCertificatePfx. 

    Télécharger Export-CMPfxCertificatesFromCa Script

  • [SCOM 2012 R2/2016] Mise à jour (7.6.1076.0) du Management Pack pour les systèmes Unix/Linux

    Microsoft vient de publier une mise à jour du pack d’administration ou Management Pack (MP) pour la supervision des systèmes alternatifs en version 7.6.1076.0. L’agent UNIX/Linux passe en version 1.6.2-339 pour SCOM 2016 et 1.5.1-256 pour SCOM 2012 R2. Pour rappel, System Center Operations Manager (SCOM) fait partie de la gamme System Center, il propose une supervision souple et évolutive de l’exploitation au niveau de toute l’entreprise, réduisant la complexité liée à l’administration d’un environnement informatique, et diminuant ainsi le coût d’exploitation. Ce logiciel permet une gestion complète des événements, des contrôles proactifs et des alertes, et assure une gestion des services de bout en bout. Il établit des analyses de tendance et des rapports, et contient une base de connaissances sur les applications et le système.

    Pour rappel, voici les fonctionnalités du management pack :

    • Supervision d’AIX 5.3, 6.1 et AIX 7
    • Supervision de HP-UX 11iv2 PA-RISC, HP-UX 11iv2 IA64, HP-UX 11iv3 PA-RISC, et HP-UX 11iv3 IA64
    • Supervision de Red Hat Enterprise Linux Server 4 (x64), Red Hat Enterprise Linux Server 5 (x64) et Red Hat Enterprise Linux Server 6 (x64), Red Hat Enterprise Linux Server 7 (x64)
    • Supervision de Solaris 9, Solaris 10 et Solaris 11
    • Supervision de SUSE Linux Enterprise Server 9, SUSE Linux Enterprise Server 10 SP1, SUSE Linux Enterprise Server 11, et SUSE Linux Enterprise Server 12
    • Supervision de CentOS 5, CentOS 6, et CentOS 7
    • Supervision de Debian GNU/Linux 5, Debian GNU/Linux 6, Debian GNU/Linux 7, et Debian GNU/Linux 8
    • Supervision de Oracle Linux 5, Oracle Linux 6 et Oracle Linux 7
    • Supervision d’Ubuntu Linux Server 10.04, Ubuntu Linux Server 12.04, Ubuntu Linux Server 14.04, et Ubuntu Linux Server 16.04
    • Permet l’installation du Management Pack Cross Platform Audit Collection Services

    Télécharger System Center Monitoring Pack for UNIX and Linux Operating Systems        

  • [Windows 10 1703] Un correctif pour le problème de SecureBoot avec le kit de déploiement et d’évaluation (ADK)

    Je vous en parlais il y a quelques semaines, Microsoft mettait en ligne la version finale du kit de déploiement et d’évaluation (ADK) pour Windows 10 1703 (Creators Update) et cette dernière comprenait un problème. Microsoft a publié un correctif pour l’ADK de Windows 10 1703 comprenant le driver correctement signé.

    Pour rappel, le problème survenait car un des drivers utilisés par l’ADK n’avait pas été signé avant la publication de cette version. Windows 10 avec le Secure Boot empêche l’installation et l’exécution du drivers. Ceci signifie que vous rencontrerez le problème même après l’installation dès lors que vous effectuerez des opérations via l’ADK. La seule solution revenait à désactiver le Secure Boot…

    Afin d’appliquer le correctif, vous devez :

    1. Localiser les drivers Wimmount.sys et WOFadk.sys existants dans C:\Program Files (x86)\Windows Kits\10\Assessment and Deployment Kit\Deployment Tools\[arch]\DISM
    2. Ouvrez les propriétés des fichiers Wimmount.sys et WOFadk.sys.
    3. Sous l’onglet Digitial Signatures, il doit y’avoir une entrée avec un algorithme Digest SHA256. En sélectionnant cette entrée et en cliquant sur le bouton Details, vous devez avoir une date de signature suivante :

                    x86

                    ---

                    Friday, ‎March ‎17, ‎2017 10:54:05 PM for wimmount.sys

                    Friday, ‎March ‎17, ‎2017 10:54:29 PM for wofadk.sys

     

                    amd64

                    -----

                    Friday, March 17, ‎2017 10:54:05 PM for winmount.sys

                    ‎Friday, March 17, ‎2017 10:54:29 PM for wofadk.sys

     

                    arm64

                    -----

                    ‎Friday, ‎March ‎17, ‎2017 10:25:54 PM for winmount.sys

                    ‎Friday, ‎March ‎17, ‎2017 10:27:06 PM for wofadk.sys

                    Si le driver a plus d’une entrée (SHA256 et SH1), ou si le nom, la date, le temps de signature du driver, diffère de ce qui est listé au-dessus (en prenant en compte le fuseau horaire), cela signifie que vous avez un driver qui a été signé avec l’ancienne méthode.

    1. Décompressez le contenu du zip.
    2. Renommez les drivers existants dans tous les dossiers des architectures.
    3. Copiez le contenu de l’archive dézippée dans les différents dossiers d’architecture.

    Pour plus d’informations, rendez-vous sur le ReadMe.txt contenu dans l’archive.

    Note : Il existe encore un problème connu avec 802.1x (dot3svc) qui n’a pas été corrigé par cette mise à jour.

    Télécharger Hotfix pour Windows ADK for Windows 10, version 1703