Jean-Sébastien DUCHENE Blog's

Actualité, Tips, Articles sur l'ensemble des Technologies Microsoft (SCCM/SMS, EMS, SCOM, SCSM, App-V, MDOP, Azure ...)
    • 31/8/2017

    [SCCM 2012 R2/CB] Nouvelle version (5.0.7958.2432) des clients UNIX/Linux pour Configuration Manager

    Microsoft vient de publier une nouvelle version du client ConfigMgr pour les serveurs UNIX/Linux. Cette version (5.0.7958.2432) peut être utilisée pour System Center Configuration Manager 2012 SP1, SP2, R2 SP1 et Current Branch.

    Elle ajoute le support d’Ubuntu 16.04 (x86/x64). Elle retire le support de AIX version 5.3, Solaris version 9, HP-UX on PA-RISC hardware, HP-UX version 11iv2, et SLES version 9 qui ne sont plus supportés par les vendeurs.

    Enfin, on retrouve diverses corrections de bugs.

    Télécharger Microsoft System Center Configuration Manager - Clients for Additional Operating Systems

    • 31/8/2017

    [Intune] Les nouveautés du mois d’Août 2017

    Microsoft vient d’annoncer la mise à disposition d’un nouvel ensemble de fonctionnalités pour Microsoft Intune.

    Les fonctionnalités suivantes sont ajoutées :

    Enregistrement

    • Amélioration à la vue Device Overview qui affiche maintenant maintenant les périphériques enregistrés mais exclue ceux gérés par Exchange ActiveSync. Ces périphériques n’ont pas les mêmes options de gestion que ceux enregistrés.

    Gestion des périphériques

    • Amélioration de l’inventaire collecté par Intune avec les informations suivantes :
      • Pour Android, vous pouvez ajouter une colonne à l’inventaire de périphérique afin de montrer le dernier niveau de patch (Security patch level) de chaque périphérique.
      • Vous pouvez maintenant filtrer les périphériques par la date d’enregistrement (exemple les périphériques enregistrés après une certaine date).
      • Amélioration du filtre Last Check-in Date.
      • Dans la liste de périphérique, vous pouvez afficher le numéro de téléphone des périphériques d’entreprise. Vous pouvez aussi filtrer sur cet attribut.
    • Support de l’accès conditionnel pour les périphériques Mac. Vous pouvez maintenant configurer des stratégies d’accès conditionnel demandant à ce que le Mac soit enregistré dans Microsoft Intune et conforme aux stratégies. L’utilisateur doit pour cela, télécharger l’application portail d’entreprise pour macOS et enregistrer leur Mac dans Intune. Intune évalue alors la conformité comme le PIN, le chiffrement, la version du système et l’intégrité du système. Ce support est apporté pour macOS 10.11+, Safari et les applications Office 2016 pour Mac en version
      • Outlook v15.34 and later
      • Word v15.34 and later
      • Excel v15.34 and later
      • PowerPoint v15.34 and later
      • OneNote v15.34 and later

    • Nouveaux paramétrages de restriction Windows 10 dans les catégories :
      • Windows Defender SmartScreen
      • App store

    • Mise à jour du profil de paramétrages BitLocker dans Windows 10 endpoint protection device:
      • Quand vous sélectionnez Block sur le paramétrage BitLocker with non-compatible TPM chip, ceci engendrait en réalité l’autorisation de BitLocker.
      • Le paramétrage Certificate-based data recovery agent permet de bloquer explicitement certificate-based data recovery agent. Par défaut, l’agent est autorisé.
      • Sous BitLocker fixed data-drive settings pour l’agent data recovery, vous pouvez maintenant explicitement bloquer l’agent de restauration de données.

    Gestion des applications

    • Une nouvelle expérience de connexion pour le portail d’entreprise Android. Celle-ci permet de voir les applications, gérer les périphériques et voir les informations du service informatique sans avoir à enregistrer le périphérique Android dans la solution d’administration. Si un utilisateur a déjà une application protégée par les stratégies de protection des applications et qu’il lance le portail d’entreprise Android, il n’est pas non plus incité à enregistré son périphérique.
    • Support des identités multiples (personnels et professionnels) pour OneNote pour iOS.

    En outre, on retrouve les changements suivants :

    Plus d’informations sur : https://docs.microsoft.com/en-us/intune/whats-new

    • 30/8/2017

    [Intune] Migration de DEP/VPP/DEM vers Intune sur Azure

    Microsoft planifie la migration des paramétrages Apple’s Device Enrollment Program (DEP), Volume Purchase Program (VPP), et les gestionnaires d’enregistrement de périphérique (DEM) vers Microsoft Intune sur Azure. Cette migration aura lieu entre le lundi 11 et vendredi 22 septembre 2017.

    Si vous n’utilisez pas ces éléments ou vous ne comptez pas les utiliser dans le mois à venir, vous n’êtes pas concernés.

    Dès lors que les paramétrages auront été migrés, il ne sera possible de les utiliser que depuis Intune sur Azure. Après la migration, vous aurez besoin d’assigner un profil avant d’activer les périphériques DEP. Pour la fonctionnalité VPP, vous allez devoir suivre les instructions pour activer le token VPP. De plus, le portail Azure ne supporte pas le profil d’enregistrement de périphérique d’entreprise par défaut pour les périphériques DEP.

    • 30/8/2017

    [Intune] Support d’Android Oreo

    Microsoft vient d’annoncer le support d’Android Oreo (8.0) par Microsoft Intune et System Center Configuration Manager et ce dès la sortie du système. Les utilisateurs peuvent donc mettre à jour leur téléphone sans craindre de mettre en péril la gestion du périphérique. Tous les scénarios ont été testés (MDM, MAM, etc.)

    On retrouve plusieurs considérations :

    • Vous devez mettre à jour le portail d’entreprise à partir du Google Play Store.
    • Les permissions pour les sources inconnues (Unknown Sources) ont été déplacées. Ceci peut être nécessaire si vous devez déployer des applications métiers (APK) sans Android for Work. Dans les précédentes versions, le paramètre était défini au niveau du périphérique. A partir d’Android O, les permissions « Install Unknown apps » est gérées par application. Pour cela, vous devez naviguer dans Settings > Apps & notifications > Special app access > Install unknown apps > Company Portal
    • Le paramétrage de conformité Block apps from unknown sources ne fonctionne pas sur Android 8.0. Ceci est dû au changement de comportement pour les sources inconnues. Il n’est plus possible pour le portail d’entreprise de détecter si la permission a été attribuée.

    Plus d’informations sur : https://blogs.technet.microsoft.com/intunesupport/2017/08/21/android-8-0-o-behaviour-changes-and-microsoft-intune/

    Source : https://blogs.technet.microsoft.com/enterprisemobility/2017/08/21/microsoft-intune-provides-support-for-android-oreo/

    • 29/8/2017

    [SCOM 2016] Correction du Management Pack pour le problème de moniteur WMI Health

    Microsoft a publié un correctif pour le Management Pack embarqué dans System Center 2016 Operations Manager concernant le problème de supervision de l’état de santé WMI.

    En l’occurrence le moniteur WMI health ne fonctionnait pas dans les conditions suivantes :

    • WinRM est configuré pour utiliser HTTPS uniquement
    • Le Service Principal Name (SPN) était enregistré avec http/servername sur le compte utilisateur

    Le problème provenait du protocole utilisé par le script qui engendrait des échecs. En lieu et place, il utilise maintenant le protocole DCOM comme dans SCOM 2012 R2.

    Microsoft a mis à jour les packs intégrés suivants qui doivent donc être mis à jour par un import :

    • SystemCenter.2007.mp - 7.2.11907.0
    • SystemCenter.Internal.mp 7.0.8437.10

    Télécharger Microsoft System Center Operations Manager 2016 inbox MP hotfix for WMI health monitor issue

    • 29/8/2017

    [WSUS/SCCM] Correctif pour les problèmes d’utilisation CPU/Mémoire avec WSUS après les mises à jour d’Août.

    Au mois d’août, Microsoft a publié un nouveau bulletin de sécurité avec les mises à jour associées. Ce dernier a engendré une augmentation de l’utilisation CPU et mémoire sur les serveurs WSUS (toutes versions). Ceci a aussi touché les environnements System Center Configuration Manager qui utilisaient la fonctionnalité de gestion des mises à jour logicielles (SUM).

    Le problème a été engendré par les mises à jour de Windows 10 1607 (par exemple KB4022723, KB4022715, KB4025339, etc) ou Windows 10 1511. Ces mises à jour contiennent un grand nombre d’éléments pour les métadonnées des paquets dépendants (enfants) car ils regroupent un grand nombre de binaires. Windows 10 1703 n’est pas touché car plus récent et ne dispose pas de packages aussi larges.

    Dans ce cas de figure, vous observez :

    • Une forte utilisation du CPU de 70 à 100% par le processus w3wp.exe qui héberge WsusPool
    • Une consommation mémoire importante par le processus w3wp.exe qui héberge WsusPool (jusqu’à 24 GB)
    • Un recyclage constant de w3wp.exe qui héberge WsusPool (identifiable par le PID)
    • Les clients échouent le scan des mises à jour et renvoient des timeouts (8024401c) dans le fichier WindowsUpdate.log
    • De nombreuses erreurs 500 pour des requêtes sur /ClientWebService/Client.asmx dans les fichiers de journalisation IIS.

    Note ce problème peut aussi survenir si vous avez trop de mises à jour remplacées. Dans ce cas la procédure est différente. Voir The Complete Guide to Microsoft WSUS and Configuration Manager SUP maintenance

    Outre les mises à jour à appliquer si après, vous pouvez augmenter le timeout d’ASP.NET et superviser les métadonnées WSUS. Pour en apprendre plus sur l’origine du problème et les autres éléments qui peuvent être mis en place : https://blogs.technet.microsoft.com/askcore/2017/08/18/high-cpuhigh-memory-in-wsus-following-update-tuesdays/

    Télécharger :

    • 28/8/2017

    [Windows 10] Microsoft répond à vos questions sur Windows 10 pour le monde de l’éducation

    Microsoft propose un événement de questions/réponses sur Windows 10 dans le monde de l’éducation. Cet évènement aura lieu le jeudi 31 août de 18h à 19h (heure française). Ask Microsoft Anything est une belle opportunité pour poser des questions sur Windows 10 avec les sujets suivants :

    • Les configurations recommandées et les bonnes pratiques de déploiements pour les périphériques Windows 10 dans le monde de l’éducation.
    • Le provisionnement des périphériques et l’application Set up School PCs
    • La gestion des périphériques avec Microsoft Intune for Education
    • Microsoft Store for Education
    • Microsoft School Data Sync
    • La différence entre Windows 10 Pro for Education, Windows 10 Pro et Windows 10 S.

    Vous devez être membre de Tech Community pour poster vos questions via l’adresse : http://aka.ms/community/Windows10

    Source : https://blogs.technet.microsoft.com/windowsitpro/2017/08/16/save-the-date-windows-10-for-education-ama-on-august-31st/

    • 28/8/2017

    [SCOM 2012/2016] Public Preview (1.0.0.6) du Management Pack pour Operations Management Suite (OMS) Service Map integration

    Microsoft vient de publier une Public Preview (1.0.0.6) du pack d’administration ou Management Pack (MP) SCOM pour Operations Management Suite (OMS) afin d’apporter une intégration avec Service Map. Cette intégration permet de créer dynamiquement des applications distribuées à partir des system maps. Elle ne fonctionne qu’avec System Center 2012 R2 Operations Manager et plus. Pour rappel, System Center Operations Manager (SCOM) fait partie de la gamme System Center, il propose une supervision souple et évolutive de l’exploitation au niveau de toute l’entreprise, réduisant la complexité liée à l’administration d’un environnement informatique, et diminuant ainsi le coût d’exploitation. Ce logiciel permet une gestion complète des événements, des contrôles proactifs et des alertes, et assure une gestion des services de bout en bout. Il établit des analyses de tendance et des rapports, et contient une base de connaissances sur les applications et le système.

    Pour rappel, Service Map découvre les composants des applications sur Windows et Linux et map les communications entre les différents services afin de voir les interconnexions entre systèmes.

    Lisez le guide associé au Management Pack pour mettre en œuvre la supervision et activer les règles nécessaires.

    Télécharger System Center Operations Manager Management Pack for Operations Management Suite (OMS) Service Map integration - Public Preview

    • 24/8/2017

    [Windows 10 1709] Les prochains mécanismes de sécurité dans Windows 10 Fall Creators Update

    Microsoft a communiqué sur les prochains mécanismes de sécurité qui seront présents dans Windows 10 1709 ou Fall Creators Update. Ces derniers viennent enrichir la gamme Windows Defender et les différents bundles proposés par Microsoft.

    Parmi les nouveautés, on retrouve :

    • Windows Defender Application Guard (WDAG) permettant d’isoler Microsoft Edge dans un environnement conteneurisé. Ceci évite qu’un logiciel malveillant qui exécute du code à partir du navigateur puisse se propager au système. Cette fonctionnalité nécessite Hyper-V pour fonctionner et par conséquent le matériel adéquat.
    • Windows Defender Exploit Guard (WDEG) est l’équivalent d’Enhanced Mitigation Experience Toolkit directement inclus dans Windows 10. Il permet de se protéger contre certaines techniques communément utilisées pour l’exploitation de vulnérabilités. Cette solution de type Host Based Intrusion Prevention System (HIPS) s’intègre au Microsoft Intelligent Security Graph pour réduire la surface d’attaque avec des règles intelligentes.

    Parmi les services déjà implémentés mais qui comportent des nouveautés, on retrouve Windows Defender Advanced Threat Protection (ATP) est une solution d’analyse, d’investigation et de réponse (forensic) permettant d’améliorer la détection et l’alerting, d’offrir des actions de réponse et d’offrir une vision courante des attaques possibles. Cette version est complétée par les éléments suivants :

    • Les alertes Windows Defender SmartScreen sont visibles dans la console afin de voir si un utilisateur a cliqué sur une URL en dépit des avertissements.
    • Les détections et actions réalisées par l’antivirus Windows Defender ainsi que les connexions bloquées par le pare-feu sont affichées dans la console.
    • Les événements Device Guard mettant en avant les applications non autorisées qui ont été bloquées ainsi que les informations d’audit ou de blocage provenant de Windows Defender Exploit Guard sont proposées dans la console.
    • De la même façon, les alertes et événements de Windows Defender Application Guard sont rapatriées dans la console.
    • Il va devenir possible d’activer à la demande Device Guard sur un périphérique donné directement depuis la console ATP. De la même façon, il sera possible de générer automatique la liste des applications autorisées basée sur la réputation des applications.
    • En outre, on retrouve de nouveaux indicateurs d’attaques (IoA) comme des règles de détections pour des attaques basées sur des scripts dynamiques, de l’exploration réseaux ou des alertes de Key Koggers.
    • De nouvelles vues sont proposées pour les opérationnels de sécurité.
    • On retrouve de nouvelles APIs permettant d’intégrer les SIEM ou obtenir des informations.
    • Enfin, la solution est étendue à Windows Server 2012 R2 et 2016 ainsi que d’autres plateformes qui vont au-delà de Windows (sans plus de détails)