• [Windows 10] Microsoft propose un Webcast et répond à vos questions sur la gestion moderne avec Microsoft 365

    Nathan Mercer et Michael Niehaus (MSFT) vont proposer un webcast et un événement de questions/réponses. Le webcast aura lieu le mardi 5 décembre de 19h à 20h (heure française). La session de questions/réponses aura lieu le mardi 12 décembre de 18h à 19h (heure française). Ask Microsoft Anything est une belle opportunité pour poser des questions sur Microsoft 365 et la gestion moderne de Windows 10 avec une réponse directe.

    S’inscrire au Webcast 

    Vous devez être membre de Tech Community pour poster vos questions via l’adresse : https://aka.ms/microsoft365-ama

    Pour s’inscrire : https://techcommunity.microsoft.com/t5/Windows-10/ct-p/Windows10

    Source : https://blogs.technet.microsoft.com/windowsitpro/2017/11/14/dec-5th-embrace-modern-it-with-the-microsoft-365-powered-device/

  • [Intune] Les utilisateurs d’ordinateurs Windows 10 gérés en MDM sont forcés de configurer un PIN

    MISE A JOUR : Microsoft a temporairement corrigé le problème en retirant la fonctionnalité de gestion de l'écran de l'état d'enregistrement.

    Depuis quelques jours vous avez peut-être pu constater que les utilisateurs dont la machine Windows 10 est gérée de manière moderne par Microsoft Intune, se voient forcer la configuration d’un code PIN.

    Si vous vérifiez, vous n’avez pas de stratégie de configuration de Windows Hello for Business. Il semble qu’il y ait eu un changement dans le moteur de Microsoft Intune. En attendant plus de détails, vous devez configurer la stratégie Windows Hello for Business par défaut à Disabled.

    Ouvrez le portail Microsoft Azure et naviguez dans Intune – Device enrollment – Windows enrollment – Windows Hello for Business. Sélectionnez la stratégie par défaut et dans la partie Settings, changez la valeur de Not Configured à Disabled.

  • [Intune] CHANGEMENT dans la gestion des périphériques Android et Android for Work

    Lors de la mise à jour du service en Novembre, Microsoft va changer la façon dont vous pouvez gérer les périphériques Android avec ou sans Android for Work avec Microsoft Intune. Il va devenir de gérer les deux modes indépendamment l’un de l’autre. Ceci va engendrer des changements dans la cinématique d’enregistrement. Vous serez informé du changement sur votre tenant par le biais du portail Office 365 Message Center.

    Vous allez pouvoir :

    • Bloquer l’enregistrement des plateformes indépendamment les unes des autres.

    • Configurer les restrictions de plateforme (Version minimum et maximum, et BYOD) indépendamment pour Android et Android for Work.
    • Les restrictions d’enregistrement liées à Android for Work précédemment présentes dans Device Enrollment – Android for Work Enrollment, seront reportés dans Device Enrollment – Enrollment Restrictions – Device Type Restrictions.

    Par défaut, les paramétrages migrés d’Android for Work seront similaires à ceux qui étaient appliqués aux configurations globales d’Android. Après le changement des paramétrages Android For Work, si vous bloquez l’enregistrement des périphériques personnels à Android for Work, seulement les périphériques Android dits d’entreprise pourront s’enregistrer dans Android for Work.

    Si vous n’avez jamais enregistré de périphériques Android for Work, la plateforme est bloquée par la stratégie de restriction par défaut. Vous pouvez alors changer la stratégie par défaut ou créer une nouvelle stratégie Device Type Restriction.

    Si vous avez enregistrés des périphériques Android for Work, la situation dépend du paramètre :

    • Paramètre configuré avec Manage all devices as Android, la stratégie de restriction par défaut est configurée à Blocked pour Android for Work.
    • Paramètre configuré avec Manage supported devices as Android for Work, la stratégie de restriction par défaut est configurée à Allowed pour Android for Work.
    • Paramètre configuré avec Managed supported devices for users only in these groups as Android for Work, la stratégie de restriction par défaut est configurée à Blocked pour Android for Work. Une stratégie Device Type Restriction supplémentaire est créée pour définir le groupe que vous aviez précédemment indiqué.

    Source : https://blogs.technet.microsoft.com/intunesupport/2017/11/07/managing-android-for-work-devices-independently-in-the-intune-console/

  • [Intune] CHANGEMENT dans la manière de configurer les stratégies d’accès conditionnel pour Intune

    Microsoft simplifie la façon de configurer les stratégies d’Accès Conditionnel (CA). Auparavant, vous pouviez configurer les stratégies d’accès conditionnel dans le portail Silverlight, à travers la partie Intune App Protection ou à travers de l’ancien portail Azure classique dans la partie Azure AD. A partir de Janvier, il ne sera possible de configurer les stratégies que via le nouveau portail Azure dans la partie Azure Active Directory.

    Les stratégies que vous avez configuré via le portail Silverlight Intune ou via Intune App Protection seront bientôt en lecture seul. Elles pourront être visibles via une nouvelle tuile « Classic Policies » dans la partie Conditional Access d’Azure Active Directory du nouveau portail.

    Microsoft recommande les éléments suivants :

    Plus d’informations sur : https://blogs.technet.microsoft.com/intunesupport/2017/11/16/support-tip-conditional-access-policies-for-intune-will-now-be-available-in-azure-active-directory/

  • Changement dans les conditions d’accès aux certifications Beta

    L’équipe BornToLean a publié un billet concernant les périodes de Beta-testing des certifications. En effet, il s’avère que Microsoft fait face à un nombre important d’utilisateurs qui planifie le passage mais ne se présente pas à l’examen. Dans ce cas de figure, les opportunités de passage sont perdues et ne permettent pas à Microsoft d’obtenir les retours suffisants pour valider l’examen.

    De ce fait, Microsoft change les conditions d’accès à ces examens. Auparavant, un voucher permettait le passage gratuitement. A partir de maintenant, Microsoft offrira un discount de 80% laissant 20% à la charge du candidat. A titre compensatoire si vous vous présentez à l’examen bêta, vous obtiendra 25% de réduction sur un futur examen passé dans l’année.

    Ceci est notamment le cas pour la certification 537: Configuring and Operating a Hybrid Cloud with Microsoft Azure Stack et celles qui suivront.

    Source : https://borntolearn.mslearn.net/b/weblog/posts/updates-on-microsoft-beta-exam-program-read-this

  • Windows Server Preview 17035 est disponible

    Comme Windows 10, Windows Server a son programme Windows Insiders. Microsoft a publié la Build 17035 de Windows Server. Pour rappel, Windows Server embrasse maintenant le concept as-a-Service déjà appliqué à Windows 10 et Office 365. On retrouve deux canaux de diffusions : Long-Term Servicing Channel (LTSC) et Semi-annual Channel. LTSC est l’équivalent des versions de Windows Server que l’on a connu jusqu’alors. Le canal Semi-annual Channel proposera deux versions par an, chacune supportée pour une durée de 18 mois. Ces versions seront publiées en Mars et Septembre de chaque année avec la nomenclature déjà connue AAMM (exemple 1803 pour Mars 2018). Seuls Nano Server et Server Core font partie du cycle continu Semi-annual Channel.

    Windows Server Build 17035 comporte les nouveautés suivantes :

    • Corrections de bugs.
    • Storage Spaces Direct est intégré pour validation et retour.
    • La déduplication de données peut aussi être utilisée pour Storage Spaces Direct et ReFS.
    • On retrouve une nouvelle version de l’interface graphique Project “Honolulu” technical preview 1711 build 01003. Cette dernière permet notamment le support de la gestion de Windows 10 par une solution Computer Management. Elle apporte un outil Remote Desktop pour se connecter directement aux machines cibles. Enfin elle comporte des corrections de bugs et une amélioration des performances.

    Pour obtenir la Preview de Windows Server, Microsoft recommande l’utilisation du programme Windows Insiders.

    Source : https://blogs.technet.microsoft.com/windowsserver/2017/11/15/windows-server-preview-build-17035-available-for-windows-insiders/

  • [Intune] Intégration avec TeamViewer : Prise en main de périphériques Android

    Microsoft s’est associé avec TeamViewer, le leader dans les solutions de prise en main. C’est une problématique commune à toutes les entreprises visant à assurer le support à distance via des outils adaptée. La solution Teamviewer s’intègre donc à Microsoft Intune pour permettre la prise en main des périphériques Android, Windows 10 et Windows 10 Mobile. La solution vient en sus de Microsoft Intune sous la forme d’une licence supplémentaire.

    La solution de TeamViewer offre les fonctionnalités suivantes :

    • Chat avec l’utilisateur.
    • Transfert de fichiers.
    • Tableau de bord du périphérique présentant les informations globales (CPU, RAM, Batterie, fabricant, numéro de série, WiFi, Stockage, Bluetooth, etc.)
    • Prise en main à distance
    • Capture d’écran
    • Inventaire des applications installées.
    • Désinstallation à distance des applications installées
    • Processus en cours d’exécution
    • Gestion des paramétrages dont les réseaux WiFi (Ajout, etc.)

    Aujourd’hui, la solution est disponible uniquement pour les périphériques Android, Windows 10, et Windows 10 Mobile. Elle est aussi disponible pour les PCs gérés avec le client Intune (en opposition à ceux gérés de manière moderne via l’agent MDM).

    Les modèles Android supportés sont indiqués sur la page : Supported manufacturers for remotely controlling Android devices

    Le but de cette série d’articles est de faire un tour d’horizon de l’intégration entre Microsoft Intune et TeamViewer avec les phases de mise en œuvre et d’exploitation :

    Avant de démarrer, vous devez disposer d’un abonnement Microsoft Intune. A date d’écriture de cet article (Octobre 2017), TeamViewer s’intègre uniquement à une configuration Microsoft Intune en mode autonome.

    Déploiement de l’application TeamViewer QuickSupport sur les périphériques Android

    De manière à pouvoir prendre la main sur le périphérique tout en facilitant la vie de l’utilisateur (afin qu’il n’ait pas à télécharger lui-même l’application), vous devez déployer les applications TeamViewer QuickSupport et Host sur les périphériques Android.

    Pour tous les périphériques Android :

    Pour Samsung, vous devez utiliser

    Deux solutions s’offrent à vous :

    • Déployer via le Google Play Store pour tous types de périphériques.
    • Déployer via le Google Play Store for Work pour des périphériques gérés via Android for Work.
    • Déployer les sources APK individuellement via le site Web.

    La méthode va déprendre de la façon dont vous gérez vos périphériques.

    Déploiement de manière traditionnelle

    Dans le portail Azure, naviguez dans Microsoft Intune – Mobile Apps – Apps, cliquez sur Add. Sur l’écran suivant, choisissez le type d’application Android store App puis renseignez les informations (nom, description, éditeur, URL de l’Application et version minimale du système d’exploitation) :

    Une fois l’application créée, choisissez un groupe de périphérique contenant les périphériques Android et choisissez un type de déploiement Required.

    Répétez l’opération pour TeamViewer Host.

    Déploiement via Android for Work

    Avant de pouvoir déployer des applications via Android for Work, vous devez avoir configuré la fonctionnalité et enregistré les périphériques dans ce mode de fonctionnement. Ceci est une prérequis à la suite de cette partie.

    Ouvrez le portail Google Play for Work et cherchez l’application TeamViewer QuickSupport. Approuvez l’application et configurez les paramètres d’approbation concernant les nouvelles demandes d’autorisation :

    Répétez l’opération pour TeamViewer Host.

    Dans le portail Azure, attendez la synchronisation ou forcez en naviguant dans le service Microsoft Intune – Mobile Apps – Android for Work. Cliquez sur Sync.

    En naviguant dans Microsoft Intune – Mobile Apps – Apps, vous voyez apparaître l’application dans la liste. Vous pouvez ensuite la déployer à votre convenance.

     

    Prise en main du périphérique Android et Expérience Utilisateur

    Côté opérateur

    Pour prendre en main le périphérique Android, l’opérateur doit se connecter au portail Azure puis naviguer dans Microsoft Intune – Devices – All Devices. Il doit ensuite cibler le périphérique Android en cliquant dessus. Il doit ensuite cliquer sur le bouton ... More puis New Remote Assistance Session :

     

    Une fenêtre visant à confirmer la session d’assistance à distance s’ouvre. Cliquez sur Yes.

     

    Pendant quelques minutes, le service initie la session puis la page se met à jour avec un lien vous permettant de lancer l’assistance à distance :

     

    Une fenêtre Teamviewer s’ouvre et vous propose de télécharger l’outil.

     

    Côté utilisateur

    Ce dernier doit lancer le portail d’entreprise dans lequel il retrouve une notification lui indiquant qu’une session d’assistance à distance a été initiée par l’administrateur.

     

    Il doit alors cliquer sur la notification et l’ouvrir avec l’application QuickSupport associée. Une fois l’application ouverte, il doit autoriser explicitement la prise de contrôle.

        

     

    L’interface permet à l’utilisateur de dialoguer avec l’opérateur. Vous pouvez observer le petit œil dans la barre qui indique que le partage d’écran est effectif.

     

    Retour côté opérateur

    Lorsque le partage est effectif, l’opérateur peut dialoguer avec l’utilisateur par Chat. Il a aussi accès à de nombreuses fonctions. Il peut par exemple effectuer un transfert de fichiers vers le périphérique.

    Il retrouve en premier lieu un tableau de bord avec :

    • Le CPU (usage + fréquence),
    • La mémoire (usage + taille)
    • La batterie (usage + Temperature)
    • Le stockage (Taille + Usage)
    • Les informations du matériel (fabricant, modèle, numéro de série, la résolution)
    • Les informations du système d’exploitation (Version, langue, IMEI, UUID)
    • Les informations réseaux (WiFi et Bluetooth)

     

    Un onglet Application liste toutes les applications installées avec la version, la taille et la date d’installation :

    Un autre onglet (Settings) permet de voir les applications en cours d’exécution.
    Un espace permet de voir les différents réseaux WiFi enregistrés.

    Enfin, on retrouve deux onglets permettant le contrôle à distance et Capture d’écran :

    L’opérateur peut alors interagir avec la souris. Il retrouve une barre intégrée permettant d’avoir accès aux trois boutons : Previous, Home, et Navigation.

    Note : La capacité de pouvoir utiliser le contrôle à distance dépend du périphérique et du système d’exploitation.

  • Téléchargez et Testez System Center Technical Preview 1711

    Tout comme pour Windows Server, Windows et System Center Configuration, Microsoft propose à SaaSifié la gamme System Center. Ainsi on retrouve la Technical Preview 1711 pour les produits Datacenter de la suite System Center. La Technical Preview disponible au format VHD pour le grand public.

    Voici les nouveautés :

    Général

    • Support de Windows Server 1709 afin notamment de permettre la supervision et la gestion de l’hôte, la configuration de réseaux virtuels SDN chiffrés, la configuration de machines virtuelles Linux protégées (Shielded) et de la protection via la sauvegarde.
    • Support de TLS 1.2.
    • Corrections de bugs.

    Virtual Machine Manager

    Operations Manager

    • Intégration de Service Map d’Operations Manager avec les applications distribuées afin de voir les dépendances déduites d’application, serveurs, et réseau depuis Service Map.
    • La supervision Linux dans Operations Manager permet de faire de la supervision granulaire de fichiers de journalisation en utilisant l’agent personnalisable Linux basé sur FluentD.
    • Amélioration de l’expérience de la console Web de SCOM avec le passage complet en HTML5 pour permettre le support par tous les navigateurs, des Widgets inclus et personnalisables.
    • Le support de Kerberos pour Linux.
    • Amélioration du temps de réponse de l’interface de la console avec nombre important de Management Packs.
    • Une fonctionnalité pour suivre les mises à jour et recommandations pour les Management Packs tiers.

    Data Protection Manager

    • Utilisation de la technologie de stockage de sauvegarde moderne (Modern Backup Storage) dans Data Protection Manager pour sauvegarder des machines virtuelles VMware encore plus rapidement tout en réduisant le coût du stockage.

     Service Manager

    Plus d’informations sur : https://cloudblogs.microsoft.com/hybridcloud/2017/11/08/preview-of-first-system-center-semi-annual-channel-release-now-available/

    Télécharger :

  • [SCCM 1710] System Center Configuration Manager 1710 est disponible !

    Microsoft vient de mettre à disposition la version finale (5.00.8577.1000) de System Center Configuration Manager 1710. ConfigMgr a subi une refonte de sa structure pour permettre des mises à jour aisées de la même façon que l’on peut le voir avec Windows 10. C’est pourquoi la fonctionnalité Updates and Servicing (nom de code Easy Setup) a été introduite. Vous devez donc utiliser cette dernière pour mettre votre site System Center Configuration Manager 1706. Si vous utilisez System Center 2012 Configuration Manager, vous devez mettre à jour votre site vers System Center Configuration Manager 1702 avant de pouvoir passer à cette version.

    Note : Un script PowerShell est disponible pour permettre d’opter pour la première vague de déploiement.

    System Center Configuration Manager 1710 comprend les nouveautés suivantes :

    Administration

    • Support de Windows 10 1709.
    • Support des périphériques Windows 10 ARM64 pour la gestion moderne via Microsoft Intune en mode hybride. Ceci inclut l’enregistrement du périphérique, l’effacement sélectif ou complet, la gestion des paramétrages et de la conformité, la configuration des ressources de l’entreprise (Certificats, VPN, Wi-Fi, Email), la configuration des stratégies Windows Hello for Business, et la gestion des applications.
    • Annoncé au Microsoft Ignite 2017, cette version inclut le Co-Management pour les périphériques Windows 10. Cette fonctionnalité permet de gérer des périphériques Windows 10 à la fois avec le client ConfigMgr mais aussi en mode moderne avec Microsoft Intune (Standalone). Vous pouvez ainsi choisir quelles sont les fonctionnalités que vous souhaitez gérer avec quel mode (traditionnel ou moderne). Pour l’instant, vous pouvez gérer les stratégies de conformité et les stratégies Windows Update for Business.
      Il vous faudra les prérequis suivants :
      • Azure AD Premium P1
      • Des licences EMS ou Intune pour les utilisateurs.
      • Des clients Windows 10 1709 (Fall Creators Update).
      • Des clients joints en mode hybride à Active Directory et Azure Active Directory.

    • Une fonctionnalité qui permet de gérer les redémarrages des clients en obtenant l’état de redémarrage depuis la console et en lançant une action cliente de redémarrage. Le redémarrage utilise l’API du client ConfigMgr et affiche donc une fenêtre de notification.

    • La fonctionnalité d’exécution des scripts (Run Scripts) se voit améliorer avec notamment :
      • L’arrivée de la délégation via les étendues de sécurité
      • La supervision en temps réel de l’exécution du script
      • Les paramètres sont intégrés dans l’assistant de création du script afin d’apporter la validation et l’identification des paramètres optionnels et obligatoires.
    • Il est possible d’ajouter des éléments de personnalisation de l’entreprise au Software Center comme le nom de l’entreprise, le thème de couleur, le logo de l’entreprise ou la visibilité des onglets. Cette configuration se fait depuis les paramétrages du client.

    • Lorsque vous configurez le niveau de télémétrie avec les paramétrages du client, vous pouvez utiliser un nouveau niveau appelé Enhanced (Limited) à partir de Windows 10 1709. Celui-ci ne permet d’envoyer que les éléments de base ainsi que les éléments nécessaires à Windows Analytics Device Health.
    • Support limité des certificats CNG (Cryptography API: Next Generation). Les clients ConfigMgr peuvent utiliser un certificat client avec une clé privé dans le CNG Key storage Provider (KSP). Ceci permet le supporté des clés privées basées sur le matériel (TPM). Les certificats CNG peuvent être utilisés pour permettre :
      • L’enregistrement du client et les communications avec les Management Point HTTPs.
      • La distribution logicielle et le déploiement d’application avec un Distribution Point HTTPs.
      • Le déploiement de système d’exploitation.
      • Le SDK Client Messaging (avec la dernière mise à jour) et les Proxy ISV.
      • La configuration Cloud Management Gateway.

     

    Gestion du contenu

    • Peer Cache quitte le statut de préversion (Pre-release)
      • Client Peer Cache supporte maintenant les fichiers d’installation express de Windows 10 et Office 365.
    • Vous pouvez maintenant déployer des Cloud Distribution Points (Cloud DP) dans Azure Government.

     

    Déploiement d’applications

    • Le Software Center ne déformera plus les icônes dont la taille est supérieure à 250x250. Software Center a rendu ces icônes floues. Vous pouvez maintenant définir une icône avec une dimension de pixel allant jusqu' à 512x512, et elle s'affiche sans distorsion.

     

    Mises à jour logicielles

    • Vous pouvez gérer les mises à jour de drivers pour les périphériques Microsoft Surface. Ceci requiert l’utilisation de Software Update Point qui exécutent Windows Server 2016. Cette fonctionnalité était jusqu’à maintenant en préversion.

     

    Déploiement de systèmes d’exploitation

    • Support du déploiement de système d’exploitation de Windows 10 1709. Vous pouvez donc mettre à niveau et utiliser la dernière version de l’ADK 1709.
    • La tâche Run Task Sequence quitte le statut de préversion (Pre-Release). Cette tâche permet d’imbriquer des séquences de tâches. Le scénario classique est l’utilisation d’une séquence de tâches pour appliquer les drivers ou installer des applications qui est elle-même appelée par plusieurs séquences de tâches parentes. Tous les scénarios de déploiement de système d’exploitation (Software Center, PXE et media) sont supportés. La tâche Run Task Sequence peut être utilisée à travers plusieurs niveaux de séquence de tâches et pas simplement une relation parent-enfant. Cette capacité augmente la complexité de la séquence de tâches. Microsoft valide toujours qu’il n’y ait pas de boucles/références circulaires.

     

    Conformité des paramétrages

    • Amélioration de l’expérience pour les profils VPN afin de n’afficher les paramétrages uniquement applicables à la plateforme spécifique. Les profils sont maintenant spécifiques à la plateforme (excepté pour Android, Android for Work ou Windows 8.1). De plus, le workflow de création a été combiné entre les machines gérées avec le client SCCM et celles gérées en mode hybride (Microsoft Intune). La page Automatic VPN est obsolète et a été supprimée. Ceci n’est applicable que pour les nouveaux profils créés. Les anciens profils ne sont pas touchés et les pages de configuration restent similaires.

    • Cette version corrige les problèmes avec les deux paramétrages de stratégies de gestion des applications mobiles (MAM) introduits dans la version 1706 :
      • Disable contact sync empêche l’application de sauvegarder des données vers l’application Contact native.
      • Disable printing empêche l’application d’imprimer des données d’entreprise
    • Changement dans les stratégies Windows Defender Device Guard
      • Renommage des stratégies Device Guard par Windows Defender Application Control.
      • A partir de Windows 10 1709, l’application des stratégies ne nécessitent plus le redémarrage du périphérique pour s’appliquer. Par défaut, le redémarrage est nécessaire.
      • Les administrateurs ont l’option d’autoriser les périphériques verrouillés à exécuter les logiciels de confiance qui ont une bonne réputation comme déterminé par Microsoft Intelligent Security Graph (ISG). Ce dernier est issu de Windows Defender SmartScreen et des autres services Microsoft. Le périphérique doit d’ailleurs exécuter Windows Defender SmartScreen afin que le logiciel soit taggué comme de confiance.
    • Configurer et déployer des stratégies Windows Defender Application Guard. Pour rappel, Windows Defender Application Guard (WDAG) permet d’isoler Microsoft Edge dans un environnement conteneurisé. Ceci évite qu’un logiciel malveillant qui exécute du code à partir du navigateur puisse se propager au système. Cette fonctionnalité nécessite Hyper-V pour fonctionner et par conséquent le matériel adéquat.
    • Support de Windows Defender Exploit Guard afin de permettre la configuration et le déploiement des stratégies pour les 4 composants dans Windows 10 1709 (ou plus) :
      • Attack Surface Reduction
      • Controlled folder access
      • Exploit protection
      • Network protection

    Plus d’informations sur cette version : What’s new in version 1710 

    Pour obtenir les éléments relatifs au processus de mise à jour : https://docs.microsoft.com/en-us/sccm/core/servers/manage/updates

  • [Windows 10 1511] Extension du support pour Windows 10 1511

    Cela faisait déjà plusieurs semaines que Microsoft communiquait l’information à plusieurs entreprises en sous-marin, c’est maintenant officiel. Windows 10 1511 se voit octroyer 6 mois additionnels de support et de mises à jour. Microsoft fournira donc des mises à jour pour corriger les problèmes de sécurité importants et critiques jusqu’en Avril 2018. Cela signifie que les correctifs cumulatifs ne contiendront plus de nouvelles mises à jour pour corriger des problèmes de fiabilité et de performance. Les mises à jour ne seront disponibles que pour Windows 10 1511 Enterprise et Education. Elles pourront être déployées via Windows Update, WSUS ou System Center Configuration Manager.

    Source : https://blogs.technet.microsoft.com/windowsitpro/2017/11/14/progressing-windows-as-a-service/

  • [SCOM] Mise à jour (7.0.0.0) des Management Packs pour superviser SQL Server 2016

    Microsoft vient de mettre à jour (7.0.0.0) le pack d’administration ou Management Packs (MP) SCOM pour superviser SQL Server 2016. Il permet la supervision du moteur de base de données, des instances, des bases de données ainsi que de l’agent SQL Server. Il fonctionne avec SCOM 2007 R2 (sans les dashboards), SCOM 2012 SP1, SCOM 2012 R2 et SCOM 2016.

    Cette nouvelle version apporte les éléments suivants :

    • Correction d’un problème d’encodage invalide des noms d’instance SQL dans les tâches AlwaysON de la console.
    • Correction d’un problème avec le moniteur XTP Configuration est toujours dans un état Warning pour l’édition SQL Server 2016 Standard.
    • Réimplémentation des workflows AlwaysON pour permettre la supervision des groupes de disponibilité avec plus de 200 base de données.
    • Mise à jour de la description d’alerte des moniteur Availability Group pour ajouter le nom du cluster et le nom du premier réplica.
    • Implémentation de 3 règles d'alerte pour les événements #5105 (erreur avec accès physique au fichier), #833 (demande d'IO a pris plus de 15 secondes), et #41144 (échec du groupe de disponibilité AO); elles sont désactivées par défaut.
    • Ajout d'informations de débogage dans les scripts de surveillance Always On monitoring.
    • Règle de performance "MSSQL 2014/16: HTTP Storage: Avg. Règle de performance "Octets/Transfert"
    • Activation des workflows Memory-Optimized pour toutes les éditions de SQL Server 2016 par défaut, dans la mesure où toutes les éditions prennent désormais en charge Memory Optimized Data depuis SP1.
    • Désactivation de la règle d'alerte pour l'événement #18456 par défaut.
    • Optimisation de ProbeAction pour le workflow User Resource Pool Memory

    Note : Ce Management Pack ne dépend pas du Management Pack de Library SQL Server.

    Télécharger Microsoft System Center Management Pack for SQL Server 2016

  • [SCOM] Nouveau Management Pack (7.0.0.0) pour superviser SQL Server 2017+ Replication

    Microsoft vient de publier un nouveau Management Pack (7.0.0.0) pour superviser le composant Replication de SQL Server 2017. Il fonctionne avec SCOM 2012 R2 ou plus. Il permet la supervision de :

    • Des composants de réplication comme un Distributor, Publisher, Publication, etc.
    • Des éléments de disponibilité, de performance, et de configuration

    Cette nouvelle version apporte les éléments suivants :

    • Possibilité de superviser SQL Server en mode Agentless Monitoring. Microsoft introduit un SQL Server 2017+ Monitoring Pool.
    • L’usage des scripts a été arrêté en faveur des modules .Net Framework.
    • Les fonctions et vues dynamiques de gestion (DMV) sont utilisées pour récupérer les informations sur l’état de santé et performance. Auparavant, des requêtes WMI et d’autres sources de données étaient utilisées.

    Télécharger Microsoft System Center Management Pack for SQL Server 2017+ Replication

  • [SCOM] Nouveau Management Pack (7.0.0.0) pour superviser SQL Server 2017+

    Microsoft vient de mettre à jour (7.0.0.0) des packs d’administration ou Management Packs (MP) SCOM pour superviser SQL Server 2017. Il supervise le moteur de base de données, les instances et les bases données. Il fonctionne avec SCOM 2012 R2 ou plus. Cette nouvelle version apporte les éléments suivants :

    • Cette version couvre la supervision de Windows et Linux.
    • Possibilité de superviser SQL Server en mode Agentless Monitoring. Microsoft introduit un SQL Server 2017+ Monitoring Pool.
    • L’usage des scripts a été arrêté en faveur des modules .Net Framework.
    • Les fonctions et vues dynamiques de gestion (DMV) sont utilisées pour récupérer les informations sur l’état de santé et performance. Auparavant, des requêtes WMI et d’autres sources de données étaient utilisées.

    Télécharger Microsoft System Center Management Pack for SQL Server 2017+

  • [Azure] Les annonces au 20 Novembre 2017

    Voici le récapitulatif des annonces faites par Microsoft concernant sa plateforme Microsoft Azure.

    Parmi les annonces, on retrouve notamment :

    General

    Azure MarketPlace

    Azure Network

    Azure Security Center

    • Preview de nouvelles détections de menaces sur Linux pour Azure Security Center. Il est maintenant possible de détecter des processus suspicieux, des tentatives de connexion douteuses, le chargement/déchargement de module kernel, et d’autres activités qui indiquent qu’une attaque est en cours.

    IaaS

    Azure Stack

    Microsoft 365

    Office 365

    • Extension du PSTN à la Belgique et l’Allemagne à partir du 1er
    • Microsoft StaffHub est maintenant disponible pour Microsoft 365 Business et Business Premium. StaffHub est une application permettant aux employés de première ligne de gérer leur charge de travail en créant des planifications, en assignant ou complétant des tâches et en communicant avec les autres employés. L’application sera présente dans le panneau de lancement d’application d’Office.
    • Microsoft publie un module PowerShell pour Microsoft Teams. Il permet de provisionner automatiquement de nouveaux Teams, de nouveaux canaux dans le Team, d’ajouter des membres et de paramétrer des options.
    • Les clients finaux Office 365 Home et Office 365 Personal se voient attribuer de nouveaux avantages lorsqu’ils utilisent Outlook.com :
      • Les bannières de publicité ne sont plus présentes.
      • Microsoft propose une protection sophistiquée contre les menaces.
      • Plus d’espace de stockage. Les comptes gratuits passent à 15GB alors que les comptes Office 365 Home et Office 365 Personal passent à 50 GB. Les clients Outlook.com qui avaient une boite aux lettres de plus de 12 GB se voient attribuées 50 GB grâce à leur fidélité.

    Enterprise Mobility + Security

    • Microsoft a mis à jour le portail d’entreprise Microsoft Intune pour macOS afin d’améliorer l’expérience, les informations et les notifications liées à la conformité. Il est à noté qu’une fois déployé, le service Microsoft AutoUpdate pour macOS permet de mettre à jour le portail. Note : Le portail d’entreprise requiert macOS 10.11 ou plus.
    • Public Preview du proxy Cloud App Security. Le contrôle de session de l’accès conditionnel s’intègre Microsoft Cloud App Security pour permettre de contrôler et limiter les actions des utilisateurs sur des applications SaaS via des stratégies d’accès conditionnel. Il sera par exemple possible de laisser l’accès à des utilisateur depuis des emplacements inconnus ou des périphériques non gérés mais dans le même temps d’empêcher le téléchargement de données sensibles.

    Azure Active Directory

    Azure Information Protection

    • La capacité d’utiliser ses propres clés de chiffrement (Bring Your Own Key) pour Azure Information Protection devient compatible avec Exchange Online. C’était une des principales problématiques de la solution qui est enfin corrigée.
    • Nouvelle version (1.10.56.0) du client Azure Information Protection corrigeant des bugs :
      • Corrige un problème de blocage sur Outlook avec les rappels.
      • Support des mises à jour pour Office 64-bits afin de protéger les documents et emails.
      • Si la police de caractère configurée n’est pas présente sur le client, alors le client Azure Information Protection utilise la police Calibri par défaut.
      • Quand vous configurez un label pour les permissions définies par l’utilisateur et la protection HYOK, la protection n’utilise plus de manière incorrecte le service Azure Rights Management.
    • Nouvelle Preview (1.15.7.0) du client Azure Information Protection apportant :
      • Azure Information Protection scanner afin d’analyser les fichiers stockés sur des partages et des sites SharePoint. L’outil peut ensuite classifier et appliquer des stratégies sur les fichiers.
      • Pour les applications Office, la classification automatique et recommandée s’exécute constamment en fond au lieu de s’exécuter quand le document est sauvegardé. Avec ce changement, vous pouvez appliquer une classification automatique et recommandées dans des documents stockés dans SharePoint Online.
      • Un nouveau paramétrage avancé du client permet afin d’empêcher Outlook d’appliquer un label par défaut mais par conséquent un autre label.
      • Pour les applications Office, lorsque vous spécifiez des permissions personnalisées, vous pouvez naviguer et sélectionner des utilisateurs à partir de l’icône de l’annuaire comme c’est le cas depuis l’explorateur de fichiers.

    Operations Management Suite

    Azure Log Analytics

    Azure Automation

    Azure Backup

    Azure Site Recovery

    Azure SQL

    Cosmos DB

    StorSimple

    Azure Container Service

    Azure Governement

    • Introduction d’Azure Government Secret permettant de supporter les agences gouvernementales qui ont des données classifiées secret.
    • Les solutions Citrix VDI arrivent sur Azure Government afin de permettre l’arrivée des postes de travail Windows 10 à partir de la solution Citrix Cloud.
    • Microsoft annonce l’arrivée de Blockchain sur Azure Government offrant les solutions associées à ces clients spécifiques.
    • Microsoft propose les machines de séries H pour les besoins High Performance Computing (HPC).
    • Azure Security Center arrive sur Azure Government. Azure Security Center donne de la visibilité et du contrôle sur la sécurité des ressources Azure. On retrouve notamment un tableau de bord avec les différents points de sécurité et recommandations par niveau de sévérité. Azure Security Center utilise un certain nombre de technologies dont le machine learning pour comprendre les patterns et les différences entre systèmes.

    Autres services

  • [Intune] Les nouveautés de la première quinzaine de Novembre 2017

    Microsoft vient d’annoncer la mise à disposition d’un nouvel ensemble de fonctionnalités pour Microsoft Intune.

    Les fonctionnalités suivantes sont ajoutées :

    Enregistrement

    • [Windows 10 1709+] Arrivée du Co-Management pour les périphériques Windows 10. Cette fonctionnalité permet de gérer des périphériques Windows 10 à la fois avec le client ConfigMgr mais aussi en mode moderne avec Microsoft Intune (Standalone). Vous pouvez ainsi choisir quelles sont les fonctionnalités que vous souhaitez gérer avec quel mode (traditionnel ou moderne). Pour l’instant, vous pouvez gérer les stratégies de conformité et les stratégies Windows Update for Business.
    • [Windows 10 1709+] Nouvelle page sur l’état d’enregistrement des périphériques Windows 10 1709 ou plus. Cette page est notamment utilisée dans le cadre d’AutoPilot ou de la jointure à Azure Active Directory avec l’enregistrement automatique dans Microsoft Intune. Vous pouvez configurer un message personnalisé et un lien hypertexte pour afficher des informations à l’utilisateur.

    • [Windows 10] Une nouvelle alerte est disponible pour les périphériques Windows AutoPilot non assignés à un profil. Cette alerte affiche combien de périphériques sur la page Microsoft Intune > Device enrollment > Overview page.
    • [Windows 10] Il est maintenant possible de restreindre l’enregistrement des périphériques Windows par version de système d’exploitation (minimum ou maximum).

    • [Windows 10] La page de paramétrage de l’application du portail d’entreprise pour Windows 10 a été mise à jour pour rendre les paramétrages et les actions utilisateurs plus consistants à travers tous les paramétrages. Il a aussi été mis à jour pour faire correspondre le rendu aux autres applications Windows. Pour vois les différences, vous pouvez voir la page what's new in app UI.
    • [Windows 10] Ajout de l’information Ownership Type dans la vue Device Details du portail d’entreprise sur iOS. Ceci offre plus de transparence à l’utilisateur.
    • [macOS] Microsoft publie le portail d’entreprise pour macOS qui a été optimisé pour afficher toutes les informations et toutes les notifications de conformité à l’utilisateur. Un fois installé, Microsoft AutoUpdate pour macOS fournira les mises à jour du portail au même titre que les autres applications Microsoft (Office). Il est téléchargeable depuis le site web du portail d’entreprise quand vous vous connectez depuis un périphérique macOS.
    • [Android] Le portail d’entreprise pour Android affiche des demandes de retours utilisateurs afin qu’ils soient envoyés à Microsoft et fournir une opportunité aux utilisateurs de donner leur avis. L’utilisateur peut bien entendu passer la notification.
    • [Android] Le portail d’entreprise pour Android peut maintenant utiliser la géolocalisation (geofencing) pour protéger l’accès aux ressources de l’entreprise. Il utilise des informations réseaux comme l’adresse IP, l’adresse de la passerelle par réseau, le DNS pour déterminer s’il doit avoir accès aux ressources.
    • [Android] Le portail d’entreprise pour Android intègre des instructions pour aider l’utilisateur final à résoudre des problèmes comme l’atteinte du nombre maximum de périphériques enregistrables, les problèmes d’activation de Samsung KNOX ou la désactivation du mode d’économie d’énergie.
    • [Android] Le portail d’entreprise pour Android intègre une action « Resolve » sur la page Update device settings. En sélectionnant cette option, l’utilisateur est directement redirigé vers le paramétrage qui rend son périphérique non conforme. Le portail supporte les actions pour le mot de passe de verrouillage, le chiffrement, l’USB Debugging et les sources inconnues.
    • [Android] Le portail d’entreprise pour Android intègre un indicateur de progression pour la configuration du périphérique lors de l’enregistrement. On retrouve les états suivants : "Setting up your device...", "Registering your device...", "Finishing registering your device...", et "Finishing setting up your device..."
    • [iOS] Amélioration de la configuration du périphérique dans le portail d’entreprise iOS en version 2.9.0. Les termes utilisés sont plus compréhensibles et des écrans ont été combinés. Microsoft intègre aussi le nom de l’entreprise dans le texte. Vous pouvez voir les différences avec la page what's new in app UI page.

    Gestion des périphériques

    • [General] Microsoft a ajouté les éléments suivants dans l’inventaire des périphériques enregistrés :
      • L’adresse MAC WiFi
      • L’espace de stockage total
      • L’espace de stockage disponible
      • MEID
      • L’opérateur abonné
    • [General] Support de Symantec Cloud Certification Authority (CA) permettant au connecteur Microsoft Intune de distribuer aux périphériques gérés des certificats PKCS à partir de Symantec Cloud CA.
    • [General] Il est maintenant possible de rafraichir la liste des périphériques dans la partie Devices via un bouton. En effet, la liste n’est pas rafraichie automatiquement.

    Configuration des périphériques

    • [iOS] Support des connexions WiFi avec des clés pré-partagées (PSK) pour WPA/WPA2. Ces profils sont poussés aux périphériques des utilisateurs quand le périphérique est enregistré dans Intune.
    • [Windows 10 1703+] Intune Management Extension (sidecar) permet de gérer et exécuter des scripts PowerShell sur les périphériques Windows 10. Ceci permet d’apporter une réponse aux périphériques Windows 10 gérés de manière moderne et dont vous souhaiteriez faire une configuration spécifique ou l’installation d‘une application.

    • [Windows 10] Vous pouvez configurer le VPN Citrix pour les périphériques Windows 10. Note : la configuration Citrix existait déjà pour iOS et Android.
    • [Windows 10 1709+] Deux nouveaux paramétrages pour Windows Antivirus :
      • File blocking level permet de protéger le périphérique contre des fichiers. On retrouve 4 niveaux : Not Configured (Par défaut), High, High+ et Zero Tolerance.
      • Tiemout extension for file scanning by the cloud permet de specifier le temps de blocage que Windows Defender applique en attendant la réponse du Cloud. Celle-ci est fixée par défaut à 10 secondes et peut être augmentée jusqu’à 50.
    • [Windows 10 1709+] Vous pouvez restreindre les utilisateurs de périphériques Windows 10 configurés en mode Kiosk à certaines applications uniquement. Le mode Kiosk est supporté en deux modes : Single App (permettant de n’exécuter qu’une application) et Multi App (permettant l’utilisation de plusieurs applications).
    • [Windows 10] De nouveaux paramétrages de restrictions de périphérique sont disponibles :
      • Messaging (Mobile uniquement) pour désactiver les SMS.
      • Password : Paramétrage pour activer FIPS et utiliser des périphériques Windows Hello comme second périphérique pour l’authentification.
      • Display : Paramétrage pour activer ou désactiver GDI Scaling pour les applications héritées.
    • [Wndows 10 1709+] Ajout d’un type de profil Network Boundary permettant la configuration de ressources d’entreprise pour être utilisée par Windows Defender Application Guard et Windows Information Protection. Vous pouvez définir des ressources cloud, des plages d’adresses IP, des serveurs proxy internes, etc.

    • [Windows 10 1709+] Gestion de Windows Defender Exploit Guard 1709 (ou plus) afin d’offrir des capacités de prévention d’intrusion avec notamment :
      • La réduction de la surface d’attaque (ASF)
      • L’accès contrôlé des dossiers
      • Le filtrage réseau
      • La protection contre les exploits

    Les paramétrages sont présents dans le profil de configuration Endpoint Protection – Windows Defender Exploit Guard.

    • [Windows 10 1709+] Gestion de Windows Defender Application Guard sur Windows 10 1709 (ou plus) afin de permettre l’exécution des sites non connus dans une version conteneurisée de Microsoft Edge. Les sites de confiance sont exécutés sur l’instance Microsoft Edge sur système hôte. Le paramétrage est disponible dans le profil de configuration Endpoint Protection – Windows Defender Application Guard. Vous pouvez ensuite définir les emplacements réseaux via le profil Network Boundary (voir plus haut).
    • [Windows 10 1709+] Gestion de Windows Defender Application Control sur Windows 10 1709 (ou plus) Enterprise pour n’autoriser que les applications de confiance. Le paramétrage est disponible dans le profil de configuration Endpoint Protection – Windows Defender Application Control. Il permet d’activer la fonctionnalité en mode audit (pas de blocage) ou forcé.

    • [Windows 10 1709+] Gestion et configuration du parefeu Windows (Windows Defender Firewall) pour gérer les différents protocoles en fonction du type de réseau (public, privé, domaine, etc.). Les paramétrages sont présents dans le profil de configuration Endpoint Protection – Windows Defender Firewall.

     

    Gestion des applications

    • [General] Les applications dans Intune affiche maintenant le numéro de version pour les applications métiers iOS et Android. L’utilisateur peut voir le numéro de version depuis le portail d’entreprise ou le portail Web. Le numéro de version complet comprend deux parties : Version(Build).
    • [General] Le rapport Device install status affiche maintenant le numéro de version de l’application pour les applications métiers pour iOS et Android.
    • [General] L’application Microsoft Planner pour iOS et Android fait maintenant parti des applications approuvées pour la gestion des applications mobiles (MAM). Vous pouvez configurer la protection depuis la partie Intune App Protection du portail Azure.
    • [iOS] Les administrateurs IT peuvent maintenant configurés un prérequis pour forcer le mot de passe au lieu d’un PIN numérique à travers la gestion des applications mobiles (MAM) quand l’application se lance.
    • [iOS] Les administrateurs peut maintenant supprimer des prérequis VPN par application sur les périphériques iOS.
    • [Android] Un administrateur peut définir le patch de sécurité Android minimum qui doit être installé sur le périphérique afin d’obtenir l’accès à une application gérée. Cette fonctionnalité n’est applicable qu’à partir d’Android 6.0+.

    Supervision et Dépannage

     

    Plus d’informations sur : https://docs.microsoft.com/en-us/intune/whats-new

  • Premières versions des Drivers et Firmware pour le Surface Book 2

    Alors qu’il vient tout juste d’être mis à disposition, Microsoft vient de mettre à disposition les drivers pour Windows 10 et firmwares pour le Surface Book 2.

    Télécharger Surface Book 2 Drivers and Firmware

  • [SCCM] La Technical Preview 1711 de System Center Configuration Manager est disponible

    Microsoft vient de mettre à disposition la Technical Preview 1711 (5.0.8582.1000) de System Center Configuration Manager. Pour rappel, ConfigMgr a subi une refonte de sa structure pour permettre des mises à jour aisées de la même façon que l’on peut le voir avec Windows 10. Si vous souhaitez installer cette Technical Preview, vous devez installer la Technical Preview 1703 puis utiliser la fonctionnalité Updates and Servicing (nom de code Easy Setup).

    Note :  La mise à niveau échoue si vous avez un serveur de site en mode passif. Ceci peut être le cas si vous utilisez la Technical Preview 1706, 1707, 1708, 1709 ou 1710. Vous devez alors désinstaller le serveur de site en mode passif.

     

    System Center Configuration Manager TP 1711 comprend les nouveautés suivantes :

    Déploiement de système d’exploitation

    • Amélioration de l’action Run Task Sequence pour imbriquer des séquences de tâches. Le scénario classique est l’utilisation d’une séquence de tâches pour appliquer les drivers ou installer des applications qui est elle-même appelée par plusieurs séquences de tâches parentes.
      • Support de tous les scénarios de déploiement de système d’exploitation (Software Center, PXE et media)
      • Amélioration des opérations dans la console pour permettre la copie, l’import, l’export et des avertissements lors de la suppression.
      • Support de l’assistant Create Prestage Content.
      • Intégration avec la vérification des déploiements.
      • La tâche Run Task Sequence peut être utilisée à travers plusieurs niveaux de séquence de tâches et pas simplement une relation parent-enfant. Cette capacité augmente la complexité de la séquence de tâches. Microsoft valide toujours qu’il n’y ait pas de boucles/références circulaires.

    Déploiement d’applications

    • Il est maintenant possible de déployer une application avec le compte System tout en laissant l’utilisateur interagir avec l’interface graphique. Ceci est très pratique pour toutes les installations qui ne permettent pas une exécution en mode silencieux ou lorsque des configurations spécifiques sont nécessaires. Vous devez pour cela activer l’option au niveau du type de déploiement: Allow users to interact with the program installation. Il est aussi possible d’utiliser ce mécanisme dans des séquences de tâches pour la création d’une image de référence après l’étape Setup Windows and Configuration Manager ou la mise à niveau du système d’exploitation dans le groupe Post-Processing. La séquence de tâches est alors mise en pause jusqu’à ce que l’utilisateur complète les informations.

    Configuration des paramétrages et conformité

    • De nouveaux paramétrages de stratégies de conformité pour Windows 10 permettent de :
      • Require Firewall: valider que le pare-feu est activé et supervise toutes les interfaces réseau.
      • Require User Account Control : valider que l’UAC est activé.
      • Defender:
        • Require Windows Defender Antivirus : Demande l’activation de Windows Defender Antivirus.
        • Windows Defender Antivirus version: spécifie la version minimum des définitions antivirales installées sur le périphérique
        • Require current Windows Defender Antivirus signature : vérifie que les périphériques ont des mises à jour de définition Windows Defender Antivirus à jour.
        • Require Real-Time Protection : Demande que le périphérique ait la protection en temps réel Windows Defender Antivirus.
      • Valid operating system builds : spécifie les prérequis de version de Windows minimum et maximum.

     

    Plus d’informations sur : https://docs.microsoft.com/en-us/sccm/core/get-started/capabilities-in-technical-preview-1711

  • [SCCM CB] Support de SQL Server 2012 SP4

    Microsoft vient d’annoncer le support de SQL Server 2012 Service Pack 4 par System Center Configuration Manager Current Branch. Les versions suivantes sont supportées :

    • SQL Server 2012 SP4 Standard (CAS, Primary site, Secondary site)
    • SQL Server 2012 SP4 Enterprise (CAS, Primary site, Secondary site)

     

    Note : SQL Server 2012 SP4 Express n’est pas supporté pour les sites secondaires.

    Source : https://docs.microsoft.com/en-us/sccm/core/plan-design/configs/support-for-sql-server-versions

  • [Intune] Intégration avec TeamViewer : Configurations préliminaires du tenant

    Microsoft s’est associé avec TeamViewer, le leader dans les solutions de prise en main. C’est une problématique commune à toutes les entreprises visant à assurer le support à distance via des outils adaptée. La solution Teamviewer s’intègre donc à Microsoft Intune pour permettre la prise en main des périphériques Android, Windows 10 et Windows 10 Mobile. La solution vient en sus de Microsoft Intune sous la forme d’une licence supplémentaire. On retrouve différents niveaux d’abonnement :

    • Business : avec une licence mono utilisateur dans des modes PC à PC ou Mobile à PC. Ce mode ne peut convenir à l’intégration puisqu’il ne permet pas la prise de contrôle de Mobile.
    • Premium : avec une licence flottante multi utilisateur dans des modes PC à PC, PC à Mobile, Mobile à PC. Cette licence comprend un seul canal (utilisateur simultané)
    • Corporate : avec une licence flottante multi utilisateur dans des modes PC à PC, PC à Mobile, Mobile à PC. Cette licence comprend 3 canaux (utilisateurs simultanés)

    La solution de TeamViewer offre les fonctionnalités suivantes :

    • Chat avec l’utilisateur.
    • Transfert de fichiers.
    • Tableau de bord du périphérique présentant les informations globales (CPU, RAM, Batterie, fabricant, numéro de série, WiFi, Stockage, Bluetooth, etc.)
    • Prise en main à distance
    • Capture d’écran
    • Inventaire des applications installées.
    • Désinstallation à distance des applications installées
    • Processus en cours d’exécution
    • Gestion des paramétrages dont les réseaux WiFi (Ajout, etc.)

    Aujourd’hui, la solution est disponible uniquement pour les périphériques Android, Windows 10, et Windows 10 Mobile. Elle est aussi disponible pour les PCs gérés avec le client Intune (en opposition à ceux gérés de manière moderne via l’agent MDM).

    Le but de cette série d’articles est de faire un tour d’horizon de l’intégration entre Microsoft Intune et TeamViewer avec les phases de mise en œuvre et d’exploitation :

    Avant de démarrer, vous devez disposer d’un abonnement Microsoft Intune. A date d’écriture de cet article (Octobre 2017), TeamViewer s’intègre uniquement à une configuration Microsoft Intune en mode autonome.

    Configuration de l’interconnexion TeamViewer/Microsoft Intune

    Ouvrez le portail Azure et naviguez dans le service Microsoft Intune – Devices – TeamViewer Connector. Cliquez sur Connect et confirmez en cliquant sur OK. La confirmation vient valider que vous déléguez les permissions :

    • Create TeamVIewer Sessions
    • Read directory data
    • Save TeamViewer Account access token

    Le connecteur passe ensuite en mode Connecting. Cliquez sur Log in to TeamViewer to authorize afin de finaliser l’interconnexion.

     

    Une page de connexion à TeamViewer s’ouvre. Connectez-vous avec un compte de l’organisation. La page suivante permet de donner les autorisations nécessaires à Microsoft Intune (IntunePEApp). En cliquant sur Autoriser, vous devez ensuite vous réauthentifier à Microsoft Intune avec un compte qui dispose des droits d’administration sur le tenant.

    Après ces différentes phases, la page renvoie « TeamViewer has been successfully connected. You can now close the window.”

     

    Sur l’interface d’administration de TeamViewer, vous pouvez notamment voir apparaître l’application IntunePEApp :

     

    Sur le portail Microsoft Intune, le connecteur a un état Actif

     

    Les prérequis pour l’utilisation de TeamViewer

    Pour connaître la liste des systèmes d’exploitation supportés, rendez-vous sur le site de TeamViewer.

    Les modèles Android supportés sont indiqués sur la page : Supported manufacturers for remotely controlling Android devices

    Le port utilisé par TeamViewer est le 5938 (TCP/UDP). Si ce port n’est pas ouvert, il essaye d’utiliser la connexion TCP 443 exception fête pour les applications Android, iOS et Windows Mobile.

    Si ni le port 5938 et 443 ne peuvent être utilisés, alors TeamViewer essaye via le port 80. Ce port n’offre pas de reconnexion si celle-ci est perdue. Les applications mobiles pour Android et Windows Mobile ne permettent pas l’utilisation de ce port.

    Pour obtenir un résumé des ports, rendez-vous sur l’article : Which ports are used by TeamViewer?

  • [SCCM] Nouvelle vidéo pour les 25 ans de ConfigMgr

    Il y a un mois, Microsoft publiait une vidéo de témoignages provenant des différents acteurs de l’équipe qui a développé System Center Configuration Manager. Aujourd’hui, Microsoft publie une nouvelle vidéo mais qui cette fois est construite sur la base de témoignages provenant de la communauté.

  • [SCCM] La Technical Preview 1710 de System Center Configuration Manager est disponible

    Microsoft vient de mettre à disposition la Technical Preview 1710 (5.0.8570.1000) de System Center Configuration Manager. Pour rappel, ConfigMgr a subi une refonte de sa structure pour permettre des mises à jour aisées de la même façon que l’on peut le voir avec Windows 10. Si vous souhaitez installer cette Technical Preview, vous devez installer la Technical Preview 1703 puis utiliser la fonctionnalité Updates and Servicing (nom de code Easy Setup).

    Note :  La mise à niveau échoue si vous avez un serveur de site en mode passif. Ceci peut être le cas si vous utilisez la Technical Preview 1706, 1707, 1708, ou 1709. Vous devez alors désinstaller le serveur de site en mode passif.

    System Center Configuration Manager TP 1710 comprend les nouveautés suivantes :

    Administration

    • Amélioration de la gestion des redémarrages des clients en affichant des informations additionnelles comme le processus ou l’action qui a initié le redémarrage.
    • Il est maintenant possible de configurer des étendues de sécurité pour la fonctionnalité Run Scripts. Microsoft a intégré une expérience de supervision intégrée dans l’assistant Run Scripts.

    Déploiement d’applications

    • Le Software Center ne déformera plus les icônes dont la taille est supérieure à 250x250. Software Center a rendu ces icônes floues. Vous pouvez maintenant définir une icône avec une dimension de pixel allant jusqu' à 512x512, et elle s'affiche sans distorsion.

    Configuration des paramétrages et conformité

    • Limiter la télémétrie Enhanced de Windows 10 1709 (ou plus) de n’envoyer uniquement les données nécessaires à Windows Analytics Device Health. Vous pouvez changer le niveau de collection à Enhanced (Limited). Cette dernière comprend les informations du niveau basique plus un sous ensemble des données collectées par le niveau Enhanced.
    • Cette version permet aux utilisateurs de vérifier à partir du Software Center la conformité des périphériques Windows 10 1709 (ou plus) utilisant le co-management mais dont l’accès conditionnel est géré par Microsoft Intune.
    • Support de Windows Defender Exploit Guard afin de permettre la configuration et le déploiement des stratégies pour les 4 composants dans Windows 10 1709 (ou plus) :
      • Attack Surface Reduction
      • Controlled folder access
      • Exploit protection
      • Network protection
    • Support limité des certificats CNG (Cryptography API: Next Generation) pour permettre :
      • L’enregistrement du client et les communications avec les Management Point HTTPs.
      • La distribution logicielle et le déploiement d’application avec un Distribution Point HTTPs.
      • Le déploiement de système d’exploitation.
      • Le SDK Client Messaging (avec la dernière mise à jour) et les Proxy ISV.
      • La configuration Cloud Management Gateway.
    • Changement dans les stratégies Windows Defender Device Guard
      • Renommage des stratégies Device Guard par Windows Defender Application Control.
      • A partir de Windows 10 1709, l’application des stratégies ne nécessitent plus le redémarrage du périphérique pour s’appliquer. Par défaut, le redémarrage est nécessaire.
      • Les administrateurs ont l’option d’autoriser les périphériques verrouillés à exécuter les logiciels de confiance qui ont une bonne réputation comme déterminé par Microsoft Intelligent Security Graph (ISG). Ce dernier est issu de Windows Defender SmartScreen et des autres services Microsoft. Le périphérique doit d’ailleurs exécuter Windows Defender SmartScreen afin que le logiciel soit taggué comme de confiance.
    • Configurer et déployer des stratégies Windows Defender Application Guard. Pour rappel, Windows Defender Application Guard (WDAG) permet d’isoler Microsoft Edge dans un environnement conteneurisé. Ceci évite qu’un logiciel malveillant qui exécute du code à partir du navigateur puisse se propager au système. Cette fonctionnalité nécessite Hyper-V pour fonctionner et par conséquent le matériel adéquat.

     

    Plus d’informations sur : https://docs.microsoft.com/en-us/sccm/core/get-started/capabilities-in-technical-preview-1710

  • [Intune] Déploiement d’Office 365 ProPlus sur Windows 10 géré de manière moderne (MDM)

    Il y a quelques mois, Microsoft Intune intégrait la fonction permettant de déployer Office 365 ProPlus sur des machines Windows 10 gérées de manière moderne (MDM) avec Microsoft Intune. En effet, Windows 10 1703 (Creators Update) comprend un Configuration Service Provider (CSP) dédié permettant l’installation d’Office 365 avec la technologie Click-To-Run (C2R). Ce scénario est particulièrement intéressant pour l’approche moderne avec Windows AutoPilot.

    L’objectif de ce billet est de démystifier cette fonction en donnant un aperçu de ses capacités. A date d’écriture de cet article (Octobre 2017), Le CSP Office n’est généré uniquement que par Microsoft Intune en mode autonome.

    Commencez par ouvrir le portail Azure et naviguez dans Intune – Mobile Apps – Apps. Cliquez sur Add.

    La fenêtre s’ouvre, choisissez Windows 10 en dessous d’Office 365 Suite.

    Dans Configure App Suite, sélectionnez les différents produits à installer parmi Access, Excel, OneDrive for Business, OneNote, Outlook, PowerPoint, Publisher, Skype for Business, Word, et les produits additionnels Visio/Project.

    Note : Il n'est pas possible aujourd'hui (Novembre 2017) de créer des déploiements uniquement pour Visio ou Project si vous avez déjà déployé les autres produits Office 365. Pour plus de détails, je vous invite à lire la partie Considérations.

     

    Sur la page App Suite Information, renseignez les informations qui seront éventuellement utilisée dans le portail d’entreprise :

    • Nom de la suite
    • Description
    • Catégorie
    • Mise en avant dans le portail d’entreprise
    • URL d’information
    • URL de vie privée

     

    Dans App Suite Settings, choisissez :

    • La version d’Office : 32 ou 64-bit
    • Le canal de mise à jour parmi :
      • Monthly est équivalent au canal Current Branch avec des mises à jour mensuelles.
      • Monthly (Targeted) correspond à la version Preview de la version qui sera publiée le mois suivant.
      • Semi-Annual est équivalent au canal Current Branch for Business avec des mises à jour semestrielles (Mars et Septembre) à destination des entreprises qui veulent prendre plus de temps pour qualifier ces mises à jour.
      • Semi-Annual (Targeted) correspond à la version Preview de la version qui sera publiée le semestre suivant.
    • Les propriétés:
      • Accepter automatique du contrat de licence pour l’utilisateur
      • Utilisation de l’activation pour un ordinateur partagé
    • Les langues à installer

     

    Une fois créée, vous êtes redirigé vers l’application et vous pouvez l’assigner à un groupe de périphériques contenant des machines Windows 10. Vous pouvez déployer Office de manière obligatoire ou optionnelle via le portail d’entreprise Microsoft Intune (Company Portal).

     

    Une fois que le poste a reçu la stratégie, l’application peut être disponible dans le portail d’entreprise en fonction du déploiement ou s’installer automatiquement :

     

    L’état d’installation remonte dans Microsoft Intune pour les machines Windows 10 1709 ou plus.

     

     

    Considérations

    Quelle est la version minimum de Windows 10 ?

    Le CSP est arrivé avec Windows 10 1703 (Creators Update ou RS2). Néanmoins, Windows 10 1709 (Fall Creators Update ou RS3) est préféré car le CSP d’Office apporte la capacité de connaître l’état d’installation d’Office 365.

    Quelles sont les scénarios supportés ?

    A date d’écriture de l’article (Octobre 2017), Windows 10 1703 et 1709 ne supporte que l’installation d’Office 365 si aucune version n’est déjà installée. En effet, le CSP ne permet pas de détecter si une version est déjà présente. Elle ne gère donc pas les scénarios qui visera à déployer une version plus récente pour mettre à niveau ou de changer la configuration d’une version déjà déployée.
    Le seul scénario supporté est une installation sur une machine sans Office 365. Si vous essayez de tout de même installer Office 365, vous obtiendrez des messages d’erreurs. Windows et Office travaille à adapter le CSP pour supporter ces scénarios.

    Comment déployer Visio ou Project sur un partie de son parc uniquement ?

    Comme vous avez pu le voir dans la démonstration mais aussi précédemment, il n'est pas possible d'utiliser le type de déploiement Office si Office 365 est déjà présent sous quelque forme. De ce fait, il n'est pas possible de créer une application spécifique pour Visio et/ou Project qui serait déployé sur des utilisateurs spécifiques en sus de la suite Office 365 classique. Vous devez donc créer 4 applications :

    • Office 365 ProPlus
    • Office 365 ProPlus + Visio
    • Office 365 ProPlus + Project
    • Office 365 ProPlus + Visio + Project

    Vous devez ensuite les assigner aux groupes correspondants aux populations adéquates de manière à prendre en compte ce scénario. Microsoft est au courant de la limitation et travaille sur une solution.

    Combien de temps l’installation peut prendre ?

    Cela dépend de nombreux paramètres (bande passante, rapidité de la machine, etc.), le fichier d’installation fait jusqu’à 2GB et donc prendre un temps certain.

    Quelle langue est utilisée ?

    Vous avez sélectionné le français et l’anglais, la langue qui sera installée sera celle correspondante au système d’exploitation.

    Comment Office se met à jour ?

    Office reste à jour via Office Content Delivery Network. Cela signifie que ce n’est pas Microsoft Intune qui le met à jour mais le client Office 365 lui-même qui s’adresse au réseau CDN en fonction des nouvelles versions.

  • Nouvelle version (1.1.6514.9163) de Power BI Report Server

    Microsoft a mis à disposition une nouvelle version (1.1.6514.9163) du serveur de rapports On-Premises pour Power BI et de PowerBI Desktop (2.51.4885.1041). La première version finale a été publié il y a quelques mois. Power BI Report Server est disponible au travers de la licence Power BI Premium. Il permet d’offrir plus de capacité aux utilisateurs pour accéder, partager et distribuer le contenu Power BI. Le but notamment de fournir un serveur On-Premises pour héberger les rapports Power BI. Le service est construit sur la technologie SQL Server Reporting Services et inclut par conséquent toutes ses capacités (comme l’exécution de rapports RDL). Outre cette publication, on retrouve le client Power BI Desktop optimisé pour Power BI Report Server.

    Cette nouvelle version de Power BI Report Server apporte :

    • La publication des rapports Power BI avec des données importées.
    • La visualisation et l’interaction avec des classeurs Excel.
    • Le support du rafraichissement de données planifié
    • Direct Query
    • Une API REST pour les développeurs.
    • La connexion à vos datasets partagés dans le serveur de rapports via ODATA
    • Le filtre des rapports Power BI en utilisant les paramètres dans l’URL.

    Pour faire fonctionner cette version, vous avez besoin de :

    • .NET Framework 4.5.2 ou plus
    • SQL Server Database Engine (2008 ou plus), pour stocker la base de données du serveur de rapports
    • SQL Server Analysis Services (2012 SP1 CU4 ou plus), pour vos sources de données Live Analysis Services

    Plus d’informations sur : https://powerbi.microsoft.com/en-us/blog/new-version-of-power-bi-report-server-now-available/

    Télécharger

  • Mise à jour (3.2) de Mouse and Keyboard Center

    Microsoft vient de publier une mise à jour (3.2.116) de Mouse and Keyboard Center. Anciennement IntelliPoint IntelliType Pro, cet outil permet de personnaliser la façon dont vous travaillez avec votre PC et vos périphériques Clavier et Souris Microsoft.

    Cette version apporte :

    • Le support de Microsoft Classic IntelliMouse
    • Configuration de changement intelligent

    Télécharger Mouse and Keyboard Center 3.2