Jean-Sébastien DUCHENE Blog's

Actualité, Tips, Articles sur l'ensemble des Technologies Microsoft (SCCM/SMS, EMS, Microsoft Intune, Microsoft Azure, Windows 10, SCOM, MDOP...)
    • 31/1/2018

    [Intune] Les nouveautés du mois de Janvier 2018

    Microsoft vient d’annoncer la mise à disposition d’un nouvel ensemble de fonctionnalités pour Microsoft Intune. Comme vous pouvez le constater, les nouveautés sont limitées du fait des vacances de Noël mais ceci n’est peut-être que le calme avant la tempête. Par le passé, les mois qui ont suivi ont été très riches en annonces.

    Les fonctionnalités suivantes sont ajoutées :

    Gestion des périphériques

    • [Android] L’application du portail d’entreprise d’Android étend les actions de résolutions de la partie Update device settings avec les problèmes relatifs au chiffrement du périphérique.
    • [Windows 10] L’utilisateur final peut maintenant verrouiller à distance des périphériques depuis l’application du portail d’entreprise pour Windows 10. L’option n’est bien entendu pas disponible pour le périphérique sur lequel il est connecté.
    • [Windows 10] L’utilisateur peut maintenant visualiser les raisons de non-conformité dans l’application du portail d’entreprise. Lorsque cela est possible, l’action l’emmènera directement dans l’emplacement adéquat de l’application Paramètres de Windows 10 pour corriger le problème.

    GraphAPI

    Plus d’informations sur : https://docs.microsoft.com/en-us/intune/whats-new

    • 30/1/2018

    [Intune] Provisionnement de périphériques Windows 10 avec Windows AutoPilot

    En juin dernier, Microsoft annonçait l’arrivée d’un nouveau service à destination de Windows 10 appelé Windows AutoPilot. Ce dernier a pour vocation de simplifier et moderniser le déploiement et la gestion des machines Windows 10. Le but est de rendre une machine opérationnelle dès sa sortie du carton sans avoir à effectuer une remasterisation avec l’image de l’entreprise.

    Disponible dès Windows 10 1703 (Creators Update) et avec des améliorations dans les versions suivantes (Windows 10 1709, etc.), l’administrateur peut enregistrer la machine dans le service de manière à personnaliser et automatiser l’expérience Out of the Box (OOBE). La configuration se fait donc depuis le Cloud puisque la machine contacte le service Windows AutoPilot Deployment pour savoir si elle doit appliquer un profil de déploiement. Ce service s’apparente à ce que l’on peut connaître avec les périphériques iOS avec le programme Apple Device Enrollment Program (DEP).

    Windows AutoPilot se limite aujourd’hui à la personnalisation de l’expérience de post installation (OOBE) et a pour principal objectif de joindre la machine à un domaine. Une fois cette opération réalisée, la machine peut être enregistrée automatiquement dans la solution d’administration afin de d’appliquer les éléments nécessaires : Conversion en édition Entreprise, Paramètres de configuration, Personnalisations, Applications (Office 365, etc.), profil WiFi, Profil VPN, etc. Toute la configuration se fait sans nécessiter un redémarrage ou une action très avancée de l’utilisateur.

    Ce processus réduit donc un des éléments les plus chronophage et couteux du service Informatique : La Masterisation. Il permet de :

    • S’affranchir de la gestion d’un master: Avec Windows 10 et le cycle de publication plus fréquent, il devient difficile de faire évoluer le master de l’entreprise.
    • S’affranchir de la gestion des drivers : C’est souvent un des éléments les plus consommateur en temps. Les administrateurs doivent valider les drivers des nouveaux modèles ou revalider les drivers des modèles existants lorsqu’une nouvelle version de Windows 10 est publiée. L’utilisation de l’image OEM garantit que les drivers associés, ont été testés par le fabricant.
    • D’intégrer de nouveaux modèles plus aisément et de faciliter les approches BYOD/CYOD: Que ce soit pour le BYOD ou des entreprises qui ont un nombre de filiales autonomes importantes, Windows AutoPilot permet plus facilement de gérer ces approches.
    • Réduire le temps de mise à disposition en faisant livrer le périphérique directement à l’utilisateur sans avoir à repasser par le service Informatique.
    • S’assurer que le périphérique est toujours à jour: Le fabricant OEM qui livre une machine, met à disposition la dernière version de Windows 10.

     

    On distingue deux scénarios :

    • Self Employee : Ce scénario implique l’utilisateur sur des actions très limitées : Configuration des options régionales (Clavier, etc.), connexion au réseau Wifi et authentification avec son compte utilisateur. C’est ce scénario que nous détaillerons dans ce billet.
    • Plug & Forget : Ce scénario revient à brancher la machine afin qu’elle se configure sans interaction de l’utilisateur et ne plus avoir à s’en soucier. Il peut être utilisé pour des machines industrielles ou en mode Kiosk.
      Note : Ce scénario n’est toujours pas disponible à date d’écriture de l’article.

     

    Cet article s’attache à détailler l’intégration entre Microsoft Intune et Windows AutoPilot.

     

    Prérequis Généraux à Windows AutoPilot

    De manière à utiliser Windows AutoPilot, vous devez valider les prérequis suivants :

     

    Côté périphérique, vous devez valider les éléments suivants :

    • Le périphérique doit être préinstallé avec Windows 10 1703 ou plus en édition Pro, Enterprise ou Education.
    • Le périphérique doit disposer d’un accès à Internet (WiFi, câble Ethernet, etc.). A date d’écriture de cet article (Janvier 2018), les réseaux qui nécessitent une configuration proxy posent des problèmes. Ce scénario n’a pas été pris en compte dans l’expérience OOBE, Microsoft travaille pour adresser ce cas d’usages. Vous devez donc autoriser les URLs (Ports HTTPS et HTTP) suivantes :
      • https://go.microsoft.com
      • https://login.microsoftonline.com
      • https://login.live.com
      • https://account.live.com
      • https://signup.live.com
      • https://licensing.mp.microsoft.com
      • https://licensing.md.mp.microsoft.com
      • ctldl.windowsupdate.com
      • download.windowsupdate.com
      • Vous devez ajouter les URLs suivantes si la machine est jointe à Microsoft Intune.
    • Le périphérique doit être enregistré auprès du service AutoPilot (voir les étapes suivantes de l’article)

     

    Afin de permettre la jointure à Azure Active Directory, ouvrez le portail Azure Active Directory avec un compte Global Administrator du tenant. Puis naviguez dans Azure Active Directory – Devices – Device settings. Validez que l’option Users may join devices to Azure AD est soit sur All soit sur Selected avec un groupe d’utilisateurs qui feront l’objet de votre démarche d’hybridation.

     

    De manière que le périphérique puisse être géré et configuré par votre solution d‘administration, vous devez activer la jointure automatique lors de la jointure à Azure Active Directory. Pour ce faire toujours dans le portail Azure Active Directory avec un compte Global Administrator du tenant, naviguez dans Azure Active Directory – Mobility (MDM and MAM). Cliquez sur Add Application et cherchez Microsoft Intune (ou votre outil MDM).

    Validez que l’option MDM user scope est soit sur All soit sur Selected avec un groupe d’utilisateurs qui pourront utiliser le service AutoPilot avec la jointure automatique à Microsoft Intune.

    Cliquez sur Save.

     

    Vous pouvez aussi configurer la personnalisation de votre annuaire avec le nom de l’entreprise. Pour cela dans le portail Azure Active Directory avec un compte Global Administrator, naviguez dans Users and groups – Company branding. Cliquez sur Configure.

    Note : Vous pouvez ajouter autant de langues que vous souhaitez. Windows AutoPilot respecte ces langues en fonction de la langue du système d'exploitation installé. 

    Sur la page suivante, vous devez renseigner les éléments suivants :

    • Banner Logo
    • User name hint pour spécifier à l’utilisateur quel type d’adresse il doit renseigner.
    • Sign-in page text pour ajouter des éléments supplémentaires lors de la connexion.
    • Square logo image

     

     

    En outre, vous pouvez aussi spécifier le nom du tenant dans Azure Active Directory – Properties Ce nom est utilisé sur les pages de connexion :

     

    Préparation de Windows AutoPilot et de Microsoft Intune

    Commencez par vous connecter au Microsoft Store for Business. Si ce n’est pas déjà fait, validez le contrat de licence afin de procéder à la création de votre espace Microsoft Store for Business.

    Ouvrez ensuite le portail Microsoft Intune et naviguez dans Device enrollment – Windows enrollment – Deployment Profiles.

    Procédez à la création d’un profil. Nommez le profil et choisissez le type de jointure que vous souhaitez. A date de création de cet article (Janvier 2018), seule la jointure Azure Active Directory est disponible.

    Note : Microsoft a annoncé la jointure à des domaines Active Directory pour les prochaines versions de Windows 10.

    Choisissez ensuite si vous souhaitez afficher les paramètres de vie privée et le contrat de licence utilisateur (EULA). Sélectionnez le type de compte utilisateur (Standard ou Administrateur) qui sera créé :

    Sauvegardez et créez le profil.

     

    Vous devez ensuite créer toutes les stratégies de déploiement de configuration ou d’applications nécessaires pour paramétrer la machine selon vos besoins.

     

    Intégration des machines au service Windows AutoPilot

    On distingue deux façons d’intégrer les machines au service Windows AutoPilot :

    • Intégration faite par le fabricant (OEM, revendeur, etc.). Lorsque vous achetez le matériel, le revendeur intègre directement les identifiants des machines sur votre tenant Azure Active Directory. Ceci vous permet ensuite d’associer les profils que vous souhaitez aux machines. Ce scénario est disponible pour les fabricants suivants : Dell, HP, Lenovo, Microsoft, Panasonic, Toshiba, et Fujitsu.
    • Récupération sur des machines existantes ou via un fichier fourni par le fabricant OEM. Dans ce cas de figure, c’est à l’administrateur d’effectuer l’opération d’intégration dans le service Windows AutoPilot et votre tenant Azure Active Directory.

    Pour la première option, vous devez vous rapprocher auprès de votre revendeur.
    Nous allons donc nous concentrer sur la seconde option. Vous pouvez récupérer les informations nécessaires sur des machines existantes dès lors qu’elles sont équipées de Windows 10 1703. En effet, la récupération d’information se fait via un script qui utilise des classes WMI qui ne sont présentes qu’à partir de cette version de Windows. Il est surement possible de passer par des solutions intermédiaires telles que Windows To Go (Windows PE ne comprend pas les classes WMI nécessaires) pour récupérer l’information sur des systèmes antérieurs (Windows 7, Windows 8, etc.)

    Pour ce faire sur la machine cible ou une machine de rebonds, récupérez le script adéquat. Il vous suffit de lancer une invite PowerShell en tant qu’administrateur et d’exécuter les commandes suivantes :
    Install-Script -Name Get-WindowsAutoPilotInfo

    Validez les trois questions visant à changer la variable d’environnement, le provider NuGet et l’installation dans le répertoire.

    Exécutez ensuite la commande suivante :

    PowerShell -ExecutionPolicy Bypass -File “C:\Program Files\WindowsPowerShell\Scripts\Get-WindowsAutoPilotInfo.ps1” -ComputerName <NomDeLaMachine> -OutputFile <CheminVersLeFichier.csv>

    Note : Si vous faites la récupération à distance, vous devez avoir les exceptions Firewall adéquate et WinRM doit être correctement configuré.

     

    Un fichier CSV est généré avec :

    • Le numéro de série du périphérique
    • L’identifiant Produit de Windows
    • Le Hash Matériel

     

    Une fois le fichier récupéré, vous devez vous connecter sur le Microsoft Store for Business. Naviguez dans Manage – Devices. Cliquez sur Add devices et sélectionnez le fichier que vous avez généré :

     

    Lors de l’ajout, vous pouvez ajouter les périphériques à un groupe de déploiement. Ceci permet par exemple de ranger les machines par service ou par filiale :

     

    Le périphérique est ensuite rajouté au service :

     

    Vous devez ensuite valider sa synchronisation avec Microsoft Intune. Connectez-vous au portail et naviguez dans Device enrollment – Windows enrollment – Devices. Cliquez sur Sync. Notez que la synchronisation a lieu automatiquement à intervalle régulier.

     

    Une fois le ou les périphériques remontés, vous pouvez les assigner au profil que nous avons créé précédemment via le bouton Assign Profile.

     

    Le périphérique assigné, la synchronisation entre Microsoft Intune et AutoPilot fait remonter l’information dans le portail Microsoft Store for Business :

    Note : vous pouvez obtenir l’état de la machine en cliquant sur l’enregistrement.

     

    Expérience Utilisateur

    Une fois l’opération effectuée, vous devez syspréper la machine sur laquelle vous avez récupérer les informations.

    Note : Sysprep ne conserve pas la jointure à Azure Active Directory et à la solution d’administration de périphériques mobiles (MDM).

    Lorsque le périphérique démarre, l’utilisateur est invité à sélectionner les options régionales et linguistiques ainsi qu’éventuellement un second clavier.

     

    Si vous disposez d’une carte réseau Wifi et que Internet n’est pas déjà détecté, l’utilisateur est invité à se connecter à un réseau WiFi. Si vous avez déjà une connexion Internet via un cable Ethernet par exemple, l’écran n’est pas affiché :

     

    L’utilisateur arrive ensuite sur la mire de connexion qui peut être personnalisée comme vu précédemment. Il est invité à s’authentifier avec son compte pour effectuer la jointure à Azure Active Directory :

    Si votre système d'exploitation dispose d'une autre langue et que vous avez renseigné la langue adéquate dans la personnalisation de votre tenant, vous verrez la personnalisation associée apparaître sur l'écran de connexion :

     

    Le processus effectue ensuite la jointure à Azure Active Directory et à la solution d’administration. Les différentes sont descendues dans la foulée.

    Microsoft prépare un écran donnant l’état d’enregistrement avec :

    • Les stratégies à appliquer
    • Les applications à déployer

    Note : Cet écran est en cours de préparation et devrait arriver dans les prochains mois.

     

    Expérience côté IT

    Côté IT, on peut voir apparaître le périphérique dans Azure Active Directory et Microsoft Intune :

     

    Dans la partie Windows AutoPilot de Microsoft Intune, on peut voir l’état d’enregistrement et la date de dernier contact du service :

     

    L’administrateur peut éventuellement faire un redéploiement de la machine à distance.

    Dépannage

    Michael Niehaus a posté deux très bon billets pour parler du dépannage de Windows AutoPilot:

    Bon Déploiement !

    • 30/1/2018

    [Windows 1803+] Un nouvel outil pour voir les données de diagnostic collectées

    Microsoft travaille actuellement pour améliorer sa communication et rassurer les entreprises sur les données collectées par le système de télémétrie de Windows 10. Une des nouveautés de la version Windows 10 1803 sera de proposer un outil permettant d’afficher et comprendre ces données. Il est d’ores et déjà possible d’essayer Windows Diagnostic Data Viewer avec les dernières Build Windows Insiders. Ce dernier est disponible depuis le Microsoft Store. Vous pouvez voir les informations suivantes :

    • Données communes, comme le nom du système d'exploitation, la version, l'ID de périphérique, la classe de périphérique, la sélection du niveau de diagnostic, etc.
    • Connectivité et configuration de l'appareil, telles que les propriétés et capacités de l'appareil, les préférences et les paramètres, les périphériques et les informations réseau de l'appareil.
    • Données sur la performance des produits et des services qui montrent l'état de santé, les données sur la performance et la fiabilité de l'appareil, les fonctionnalités de consommation de films sur l'appareil et les requêtes de fichiers de l'appareil. Il est important de noter que cette fonctionnalité n'est pas conçue pour capter les habitudes de visionnement ou d'écoute des utilisateurs.
    • Les données d'utilisation des produits et des services comprennent des détails sur l'utilisation de l'appareil, du système d'exploitation, des applications et des services.
    • Configuration et inventaire des logiciels, tels que les applications installées et l'historique des installations, les informations de mise à jour de l'appareil.

    Pour rappel, voici un article qui résume les données collectées pour le mode Complet : Windows 10 diagnostic data for the Full telemetry level

     

    Source : https://blogs.windows.com/windowsexperience/2018/01/24/microsoft-introduces-new-privacy-tools-ahead-of-data-privacy-day/

    • 29/1/2018

    [Intune] Un guide pour le dépannage des problèmes d’enregistrement de périphériques iOS

    Microsoft a créé un guide pas à pas pour vous aider à dépanner les problèmes d’enregistrement de périphériques iOS avec Microsoft Intune. Ce guide permet de comprendre d’où vient le problème en sélectionnant des descriptions de comportement afin de vous proposer des solutions :

    Accéder au guide : Troubleshooting iOS device enrollment problems in Microsoft Intune

    • 28/1/2018

    [SCCM CB] Une série de vidéos sur les mises à jour logicielles

    Steven Rachui (PFE Microsoft) a publié une série de vidéos sur la gestion des mises à jour logicielles avec System Center Configuration Manager Current Branch. Il aborde les différents mécanismes possibles : Windows Update for Business, Express Updates, etc.

    Voir les vidéos en question :

    • 28/1/2018

    [Windows 10] Microsoft répond à vos questions sur Microsoft Edge

    Microsoft va proposer un événement de questions/réponses. Cet évènement aura lieu le mardi 30 janvier de 18h à 19h (heure française). Ask Microsoft Anything est une belle opportunité pour poser des questions sur Microsoft Edge.

    Pour s’inscrire : https://techcommunity.microsoft.com/t5/Microsoft-Edge-AMA/bd-p/MicrosoftEdgeAMA

    • 27/1/2018

    [Exchange] Nouvelle version du script de collection de logs

    David Paulson (MSFT) propose depuis quelques années un script qui permet de faire la collection des journaux liés à Exchange Server. La dernière mise à jour de son script permet la collecte à distance. Ceci ne peut se faire que si la machine autorise la commande Invoke-Command à distance. Ce n’est pas le cas des serveurs Windows Server 2008 R2.

    Télécharger Exchange Log Collector

    Plus d’information sur : Exchange Log Collector Script

    • 27/1/2018

    [Teams] Un script pour créer un Team public à l’échelle de l’entreprise

    Microsoft a publié un script à destination de Microsoft Teams permettant de créer un Team public à l’échelle de l’entreprise. Le script utilise le module PowerShell Microsoft Teams ainsi que le module Azure AD pour récupérer la liste des utilisateurs associé au tenant.

    Télécharger PowerShell script - Create org-wide team in Microsoft Teams

    • 26/1/2018

    [SCOM 2012+] Modification du Management Pack pour superviser Azure

    Microsoft fournit un correctif non officiel au Management Pack pour Microsoft Azure et corriger le comportement du moniteur vérifiant les certificats d’administration Azure. Ce Management Pack corrige le fait qu’il ne donne pas le nom du certificat ainsi que la possibilité de ne pas superviser certains certificats.

    Plus d’informations sur : Replacement Azure Management Certificate Monitoring

    • 26/1/2018

    [Azure Information Protection] Considérations pour les écrans multiples et les applications Office

    Lorsque vous utilisez Office en version 16.0.8628.2010 ou plus avec le client Azure Information Protection sur une configuration à écrans multiples, il est nécessaire d’adapter la configuration.  Il se peut en effet que la barre du client AIP soit affichée en dehors des applications Office. Vous devez alors activer le support hérité pour les écrans dans File > Options > General > User Interface options.

    Si vous voyez l’option Use best settings for my display/Utiliser les paramètres optimaux pour mon écran, désactivez l’option.

    Si vous voyez l’option When using multiple display/Lors de l’utilisation de plusieurs écrans, configurez à Optimize for compatibility/Optimiser pour la compatibilité.

    Microsoft travaille sur la correction du problème dans la prochaine préversion du client qui sera la prochaine version générale.

    Source : https://docs.microsoft.com/en-us/information-protection/rms-client/client-admin-guide-install

    • 25/1/2018

    [AD/Azure AD] Hybridation de l’identité avec Windows 10, iOS et Android (Device WriteBack et Azure AD Hybrid Join)

    Avec la mobilité, le télétravail, et les services dans le Cloud, on parle de plus en plus d’identité Cloud. Nombreuses sont les entreprises qui utilisent un fournisseur d’Identity as a Service (IDaaS). C’est le fer de lance de Microsoft qui propose Azure Active Directory, l’annuaire dans le Cloud qui constitue la base de tous les services Cloud (Office 365, Microsoft Intune, etc.). Jusqu’alors les questions autour de ce service se posaient avec Office 365 qui engendrait l’usage d’Azure Active Directory (Edition Basic) pour les entreprises qui souscrivaient au service.

    Avec l’augmentation des services Cloud, Azure Active Directory constitue une pierre angulaire qui touche aujourd’hui une autre brique essentielle : Le poste de travail. Avec l’arrivé de Windows 10, il est désormais possible de joindre une machine à Azure Active Directory en lieu et place d’Active Directory. Cela signifie que la relation de confiance se fait avec l’annuaire dans le Cloud offrant du SSO pour les services associés. Dans le même temps, ce scénario permet plus facilement la mobilité, le télétravail et la souplesse de la gestion qui s’en voit modernisée.

    Dans les prochains mois, les entreprises vont se mettre à hybrider l’identité de manière à permettre les scénarios croisés suivants :

    • Machines jointes à Azure Active Directory d’accéder aux ressources internes : serveurs de fichiers, applications internes, etc.
    • Machines jointes à Active Directory d’accéder aux ressources Cloud avec du Single Sign-On (Office 365, etc.) mais aussi à fournir des fonctionnalités supplémentaires comme l’accès conditionnel, le Co-Management, etc.

    L’hybridation est un élément essentiel à planifier dans l’évolution du Service Informatique de manière à offrir une expérience utilisateur cohérente. Quelque soit la stratégie d’identité que vous percevez, je vous invite à lire un article très intéressant qui parle du Design : Azure Active Directory Hybrid Identity Design Considerations

    L’objet de cet article permet d’aborder les différentes opérations pour réaliser les deux scénarios cités plus haut :

    • Pour permettre à des machines jointes à Azure Active Directory d’accéder aux ressources internes, il faut réécrire les enregistrements créés dans l’annuaire interne : Device Writeback.
      Notez que les enregistrements d’un tenant Azure Active Directory ne peuvent pas être réécrits dans plus forêts.
    • Pour permettre à des machines jointes à Active Directory d’accéder aux ressources Cloud avec du Single Sign-On (Office 365, etc.), il faut qu’elles s’enregistrent dans Azure Active Directory. C’est ce qu’on appelle la jointure hybride Azure AD (Hybrid Azure AD Join) ou anciennement Domain Join++ (DJ++).

    On distingue un troisième scénario que l’on appelle Azure AD registered (ou anciennement Workplace Join) et qui concerne les périphériques Bring Your Own Device (BYOD) et donc non joints à Active Directory ou Azure Active Directory. Ceci peut concerner donc les périphériques iOS, Android ou Windows 10 où un compte Azure Active Directory a été ajouté à un des services Cloud utilisés localement (Office 365, Microsoft Intune). Dans le cas de Windows 10, cela correspond à l’ajout du compte Azure Active Directory comme compte du système.

    Note : Ces scénarios s’appliquent quelque soit le mode d’authentification utilisé : Synchronisé, Fédéré (via Active Directory Federation Services ou d’autres services) ou via l’authentification Pass-Through.

    Si vous souhaitez en apprendre plus sur les mécanismes d’authentification présents derrière l’hybridation, je vous invite à regarder l’excellente vidéo de Jairo Cadena (PM Identity – Microsoft) à l’occasion du Microsoft Ignite 2016 : Join your Windows 10 devices to Azure AD for anywhere, anytime productivity

     

    Prérequis généraux

    Cet article part du principe que vous avez installé ou configuré un certain nombre de prérequis comme :

    • Un annuaire Active Directory On-Premises. Selon la configuration de votre annuaire (une ou plusieurs forêts), les opérations qui suivent peuvent diverger.
    • Un tenant Azure Active Directory.
      • Scénario Device Writeback : Ceci requiert l’édition Premium (P1 ou P2) d’Azure Active Directory.
      • Scénario Azure AD Hybrid Join : Vous pouvez l’utiliser sous toutes les formes: Au travers d’Office 365, Azure Active Directory Free, Basic ou Premium (P1 ou P2).
    • Azure AD Connect permettant la synchronisation d’une partie de votre annuaire dans l’annuaire dans le Cloud Azure Active Directory. Vous devez à minima synchroniser les utilisateurs. Pour plus d’informations sur son installation, rendez-vous sur : Integrate your on-premises directories with Azure Active Directory.
    • Windows 10 1511 ou ultérieur. Microsoft recommande l’usage de Windows 10 1607.

    Rappel : Active Directory Federation Services (AD FS) n’est pas nécessaire puisque les scénarios sont aussi valables pour des identités avec synchronisation du mot de passe ou authentification Pass-Through.

    L’article suivant ne s’applique qu’avec des contrôleurs de domaine Windows Server 2008 R2 ou plus. Pour des contrôleurs de domaine de versions antérieures, vous devez utiliser des scripts dédiés.

     

    Afin de permettre le second scénario, assurez-vous que vous autorisez la jointure à Azure Active Directory. Pour cela, ouvrez le portail Azure Active Directory avec un compte Global Administrator du tenant. Puis naviguez dans Azure Active Directory – Devices – Device settings. Validez que l’option Users may join devices to Azure AD est soit sur All soit sur Selected avec un groupe d’utilisateurs qui feront l’objet de votre démarche d’hybridation.

    Pour le premier scénario, vous devez vous assurer que l’option Users may register their devices with Azure AD est à All. L’option peut être grisée sur cette option si vous utilisez des services Cloud tels que Microsoft Intune ou Office 365. En effet, cette option constitue un prérequis.

     

    Configuration de l’hybridation Azure AD vers Active Directory (Device Writeback)

    Commencez par valider que vous disposez bien de l’abonnement à Azure AD Premium (P1 ou P2) ou Enterprise Mobility + Security (EMS) ou Microsoft 365.

    La première étape consiste à préparer Active Directory en procédant à l’extension du schéma nécessaire.

    Sur la machine où vous avez installé Azure AD Connect, vous devez installer la fonctionnalité Remote Server Administration Tools for AD DS. Vous pouvez le faire via PowerShell: Add-WindowsFeature RSAT-AD-Tools.

    Validez ensuite que le module PowerShell Azure Active Directory est installé. Dans le cas contraire, vous pouvez le télécharger et l’installer.

    Identifiez ensuite le compte utilisé pour exécuter Azure AD Connect en ouvrant la console des services sur le serveur. Cherchez le service Microsoft Azure AD Sync :

    L’étape qui suit procède à l’extension de schéma, suivez votre procédure interne pour cette action. Lancez PowerShell en tant qu’enterprise admin et exécutez la commande suivante :

    Import-Module 'C:\Program Files\Microsoft Azure Active Directory Connect\AdPrep\AdSyncPrep.psm1'

    Initialize-ADSyncDeviceWriteback –DomainName <NOM DE DOMAINE INTERNE utilisé pour stocker les objets> -AdConnectorAccount <NOM DU COMPTE UTILISATEUR QUI EXECUTE LE SERVICE AAD CONNECT>

    Une fois la commande exécutée, vous pouvez valider l’apparition d’un conteneur RegisteredDevices dans l’arborescence de votre annuaire. La commande a aussi spécifier les permissions adéquates pour le compte qui exécute le connecteur Azure Active Directory :

     

    Via ADSIEdit, vous pouvez aussi valider la création du conteneur Device Registration Services dans la partition de configuration puis Services :

     

    Lancez ensuite l’assistant Microsoft Azure Active Directory Connect et cliquez sur Configure.

     

    Sur l’écran suivant, sélectionnez la tâche Customize synchronizaiton options puis entrez les identifiants d’un administrateur global du tenant.

     

    Passez l’écran Connect Directories dans la mesure où cette opération a déjà été réalisée lorsque vous avez installé Azure AD Connect.

     

    Sur l’écran Domain/OU Filtering, vous pouvez noter que le conteneur RegisteredDevices a été automatiquement coché pour signifier la synchronisation des objets Azure AD.

     

    Sur l’écran Optional features, cochez la case Device writeback.

    Note: Si la case est grisée, cela signifie que les permissions du compte de service qui exécute Azure AD Connect n’ont pas correctement été configurée sur les conteneurs.

     

    Spécifiez la forêt dans laquelle réécrire les enregistrements associés au tenant. En effet comme expliqué dans l’introduction, il n’est possible de réécrire les périphériques que dans une seule forêt excepté si vous synchronisez plusieurs tenants Azure AD.

    Enfin terminez l’assistant en cliquant sur Configure pour lancer la synchronisation puis Exit.

     

    Après quelques minutes, des enregistrements de type msDS-Device apparaissent dans le conteneur Registered Devices.

    Dès lors les machines jointes à Azure Active Directory peuvent accéder aux ressources internes sans avoir à renseigner leurs identifiants à nouveau. Les enregistrements sont créés sur l’annuaire On-Premises en fonction de l’intervalle de synchronisation d’Azure AD Connect.
    Pour la suite, je vous invite à lire la suite de l’article ou à passer à la gestion du cycle de vie des enregistrements.

     

    Configuration de l’hybridation Active Directory vers Azure AD (Azure AD Hybrid Join)

    L’article ne traite pas de la mise en œuvre pour des périphériques équipés avec des systèmes d’exploitation inférieurs à Windows 10 (Ex : Windows 7 ou Windows 8.1). Dans ce cas, vous devez suivre des actions supplémentaires.

    La première étape consiste à configurer le Service Connection Point (SCP) sur votre forêt. Ce dernier est utilisé par les machines pour découvrir les informations sur le tenant Azure Active Directory. Ces informations sont nécessaires pour l’enregistrement et sont présentes dans la partition de configuration. Vous pouvez utiliser ADSIEdit pour vérifier si le conteneur est présent dans Configuration – Services – Device Registration Configuration.

    Note : La création du SCP est faite automatiquement lors de l’installation d’Azure AD Connect en mode Express avec un compte enterprise admin.

    Si ce n’est pas le cas, vous devez préparer la forêt Active Directory en procédant à l’extension du schéma nécessaire.

    Sur la machine où vous avez installé Azure AD Connect, vous devez installer la fonctionnalité Remote Server Administration Tools for AD DS. Vous pouvez le faire via PowerShell: Add-WindowsFeature RSAT-AD-Tools.

    Validez ensuite que le module PowerShell Azure Active Directory est installé. Dans le cas contraire, vous pouvez le télécharger et l’installer.

    Identifiez ensuite le compte utilisé pour exécuter Azure AD Connect en ouvrant la console des services sur le serveur. Cherchez le service Microsoft Azure AD Sync :

     

    L’étape qui suit procède à l’extension de schéma, suivez votre procédure interne pour cette action. Lancez PowerShell en tant qu’enterprise admin et exécutez la commande suivante :

    Import-Module 'C:\Program Files\Microsoft Azure Active Directory Connect\AdPrep\AdSyncPrep.psm1'

    Initialize-ADSyncDomainJoinedComputerSync  -AdConnectorAccount <NOM DU COMPTE UTILISATEUR QUI EXECUTE LE SERVICE AAD CONNECT>

    Spécifiez un compte administrateur global du tenant.

    Note : L’opération doit être réalisée sur toutes les forêts que vous pouvez procéder.

     

    Une fois la commande exécutée, vous pouvez valider la création du conteneur Device Registration Condiguration dans la partition de configuration via ADSIEdit ainsi que les permissions nécessaires au compte qui exécute Azure AD Connect :

    Vous devez valider que les conteneurs contenant les enregistrements des machines jointes à Active Directory qui s’enregistreront à Azure Active Directory, sont synchronisés par Azure AD Connect. Ceci permet d’assurer un enregistrement optimal mais aussi la gestion du cycle de vie des enregistrements. Pour cela, vous devez lancer l’assistant Microsoft Azure Active Directory Connect.

     

    L’étape suivante ne concerne que les environnements fédérés avec un outil tels qu’Active Directory Federation Services (AD DS). Vous devez créer les émissions de revendications ou Claims. Ceci permet aux périphériques de s’authentifier pour obtenir un token d’accès pour s’enregistrer sur le service Azure Active Directory Device Registration Service (Azure DRS).

    Avec AD FS, vous devez valider que les Endpoints adfs/services/trust/13/windowstransport ou adfs/services/trust/2005/windowstransport sont activés.

    Voici un script à exécuter pour procéder à la création des règles de transformation d’émission AD FS :

    $multipleVerifiedDomainNames = $false
    $immutableIDAlreadyIssuedforUsers = $false
    $oneOfVerifiedDomainNames = 'example.com'   # Replace example.com with one of your verified domains

    $rule1 = '@RuleName = "Issue account type for domain-joined computers"
    c:[
        Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid",
        Value =~ "-515$",
        Issuer =~ "^(AD AUTHORITY|SELF AUTHORITY|LOCAL AUTHORITY)$"
    ]
    => issue(
        Type = "http://schemas.microsoft.com/ws/2012/01/accounttype",
        Value = "DJ"
    );'

    $rule2 = '@RuleName = "Issue object GUID for domain-joined computers"
    c1:[
        Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid",
        Value =~ "-515$",
        Issuer =~ "^(AD AUTHORITY|SELF AUTHORITY|LOCAL AUTHORITY)$"
    ]
    &&
    c2:[
        Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname",
        Issuer =~ "^(AD AUTHORITY|SELF AUTHORITY|LOCAL AUTHORITY)$"
    ]
    => issue(
        store = "Active Directory",
        types = ("http://schemas.microsoft.com/identity/claims/onpremobjectguid"),
        query = ";objectguid;{0}",
        param = c2.Value
    );'

    $rule3 = '@RuleName = "Issue objectSID for domain-joined computers"
    c1:[
        Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid",
        Value =~ "-515$",
        Issuer =~ "^(AD AUTHORITY|SELF AUTHORITY|LOCAL AUTHORITY)$"
    ]
    &&
    c2:[
        Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid",
        Issuer =~ "^(AD AUTHORITY|SELF AUTHORITY|LOCAL AUTHORITY)$"
    ]
    => issue(claim = c2);'

    $rule4 = ''
    if ($multipleVerifiedDomainNames -eq $true) {
    $rule4 = '@RuleName = "Issue account type with the value User when it is not a computer"
    NOT EXISTS(
    [
        Type == "http://schemas.microsoft.com/ws/2012/01/accounttype",
        Value == "DJ"
    ]
    )
    => add(
        Type = "http://schemas.microsoft.com/ws/2012/01/accounttype",
        Value = "User"
    );

    @RuleName = "Capture UPN when AccountType is User and issue the IssuerID"
    c1:[
        Type == "http://schemas.xmlsoap.org/claims/UPN"
    ]
    &&
    c2:[
        Type == "http://schemas.microsoft.com/ws/2012/01/accounttype",
        Value == "User"
    ]
    => issue(
        Type = "http://schemas.microsoft.com/ws/2008/06/identity/claims/issuerid",
        Value = regexreplace(
        c1.Value,
        ".+@(?<domain>.+)",
        "http://${domain}/adfs/services/trust/"
        )
    );

    @RuleName = "Issue issuerID for domain-joined computers"
    c:[
        Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid",
        Value =~ "-515$",
        Issuer =~ "^(AD AUTHORITY|SELF AUTHORITY|LOCAL AUTHORITY)$"
    ]
    => issue(
        Type = "http://schemas.microsoft.com/ws/2008/06/identity/claims/issuerid",
        Value = "http://' + $oneOfVerifiedDomainNames + '/adfs/services/trust/"
    );'
    }

    $rule5 = ''
    if ($immutableIDAlreadyIssuedforUsers -eq $true) {
    $rule5 = '@RuleName = "Issue ImmutableID for computers"
    c1:[
        Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid",
        Value =~ "-515$",
        Issuer =~ "^(AD AUTHORITY|SELF AUTHORITY|LOCAL AUTHORITY)$"
    ]
    &&
    c2:[
        Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname",
        Issuer =~ "^(AD AUTHORITY|SELF AUTHORITY|LOCAL AUTHORITY)$"
    ]
    => issue(
        store = "Active Directory",
        types = ("http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID"),
        query = ";objectguid;{0}",
        param = c2.Value
    );'
    }

    $existingRules = (Get-ADFSRelyingPartyTrust -Identifier urn:federation:MicrosoftOnline).IssuanceTransformRules

    $updatedRules = $existingRules + $rule1 + $rule2 + $rule3 + $rule4 + $rule5

    $crSet = New-ADFSClaimRuleSet -ClaimRule $updatedRules

    Set-AdfsRelyingPartyTrust -TargetIdentifier urn:federation:MicrosoftOnline -IssuanceTransformRules $crSet.ClaimRulesString

    Note : La création des règles de transformation d’émission est faite automatiquement lors de l’installation d’Azure AD Connect en mode Express ou Custom.

    Une fois ces opérations réalisées, les périphériques joints au domaine peuvent s’enregistrer à Azure Active Directory. Les comportements suivants sont observés :

    • Pour Windows 10 1607 (Anniversary Update) ou plus, l’enregistrement s’effectue automatiquement lorsque le périphérique démarre ou lorsqu’un utilisateur se connecte.
    • Les périphériques Windows 10 1511 joigne automatiquement si la stratégie de groupe (GPO) ou la stratégie du client ConfigMgr est configurée.
    • Pour les clients inférieurs à Windows 10, vous devez déployer le package dédié.

    Pour plus d’informations, je vous invite à lire : How to configure hybrid Azure Active Directory joined devices.

     

    La dernière étape consiste à inciter les machines à s’enregistrer. Ceci peut se faire par GPO, System Center Configuration Manager ou manuellement.

    Vous pouvez créer la GPO qui permet de forcer l’enregistrement. Pour rappel avec Windows 10 1607, l’opération a lieu automatiquement.

    Vous devrez peut-être intégrer les ADMX de Windows 10 dans votre store afin de pouvoir éditer ce nouveau paramètre de GPO.

    Ouvrez une GPO existante ou procédez à la création d’un GPO. Naviguez ensuite dans Computer Configuration > Policies > Administrative Templates > Windows Components > Device Registration. Passez le paramètre Register domain joined computers as devices à Enabled.

     

    Avec System Center Configuration Manager, créez ou ouvrez une stratégie cliente existante. Naviguez dans Cloud Services et validez que le paramètre Automatically register new Windows 10 domain joined devices with Azure Active Directory est à Yes. Déployez la stratégie sur une collection comprenant vos machines Windows 10 si ce n’est pas déjà fait.

     

    Vous pouvez aussi joindre manuellement une machine en utilisant la commande dsregcmd /join. Cette dernière doit être exécutée en tant qu’administrateur.

    Cette même commande permet aussi de consulter d’enregistrement d’une machine : dsregcmd /status

     

    Gestion du cycle de vie des enregistrements

    Une fois que vous avez activé la création des enregistrements dans les deux annuaires, la question du cycle de vie se pose ! Et bien entendu la réponse se situe au niveau d’Azure AD Connect. Il est ensuite nécessaire de savoir quelle source est maintenue à jour ? Azure Active Directory ou Active Directory ?

    Lorsque les enregistrements Azure Active Directory est réécrit dans le conteneur RegisteredDevices dans Active Directory, l’identifiant est utilisé comme nom. Vous pouvez obtenir plus de détails en ouvrant la liste des attributs :

    • msDS-DeviceID correspond à l’identifiant unique dans Azure Active Directory. Ce dernier est aussi présent dans le cn.
    • displayName contient le véritable nom de la ressource.
    • msDS-DeviceOSType correspond au type de système d’exploitation (Windows, iOS, etc.)
    • msDS-DeviceOSVersion correspond à la version du système d’exploitation.
    • msDS-IsCompliant comprend l’état de conformité de l’enregistrement dans Azure Active Directory.
    • msDS-IsEnabled comprend l’état de l’enregistrement dans Azure Active Directory.
    • msDS-IsManaged comprend l’état de gestion (MDM) du périphérique dans Azure Active Directory.

     

    On retrouve ces éléments dans le portail Azure Active Directory au niveau de la vue du périphérique :

     

    Il est notamment possible de désactiver ou supprimer l’enregistrement. Ces actions lorsqu’elles sont réalisées sont répercutées dans l’annuaire interne par Azure AD Connect :

     

    Il en est bien entendu de même pour les machines jointes au domaine Active Directory qui se sont enregistrées dans Azure Active Directory :

     Il est donc possible de réaliser ces opérations des deux côtés pour qu’elles se répercutent sur l’autre extrémité.

     

    Dépannage

    On retrouve différents moyens de dépanner les problèmes liés à l’hybridation :

    • Sur les machines concernées, vous retrouvez des fichiers de journalisation avec notamment :
      • Applications and Services Logs – Microsoft – Windows – AAD
      • Applications and Services Logs – Microsoft – Windows – User Device Registration
    • Sur le composant Azure AD Connect, vous retrouvez :
      • Windows – Application avec la source Directory Synchronization
    • Sur les différents composants Azure AD Connect et Active Directory Federation Services, vous retrouvez :
      • Applications and Services Logs - AD FS
    • 25/1/2018

    [SQL Server] Une série de Webcasts sur SQL Server 2017 sur Linux

    Microsoft propose une série de webcasts à la demande sur SQL Server 2017 sur Linux :

    • SQL Server 2017 on Linux- #1 in price and performance—with massive scale
    • SQL Server 2017 on Linux, Providing Industry leading security
    • SQL Server 2017 on Linux, In-memory technologies

    S’enregistrer à l’un des webcasts

    • 24/1/2018

    Mise à jour 4.25 de l’outil BGInfo de SysInternals

    Microsoft a mis à jour (v4.25) le célèbre outil Bginfo de SysInternals. Cette version corrige des régressions introduites dans les versions 4.23 et 4.24.

    Télécharger Bginfo v4.25

    • 24/1/2018

    Les nouveautés 2018 en matière d’éducation (Windows 10, Office 365, Microsoft Intune for Education, etc.)

    A l’occasion du salon Bett sur le thème de l’éducation, Microsoft a annoncé des nouveautés pour sa suite de produits et services.

    Général

    Office 365

    • Les outils Microsoft Learning améliorent la lecture, l’écriture et la compression des étudiants. On retrouve notamment
      • la capacité de dicter via la voix dans Word, Word Online, PowerPoint, Outlook Desktop, OneNote Windows 10, et OneNote Online
      • La lecture à haute voix permet de lire le contenu d’un email en surlignant chaque mot de manière synchronisée avec Outlook Desktop.
      • la lecture immersive dans Word for Mac, iPhone, Outlook Desktop, OneNote iPad, et OneNote Mac.
    • OneNote Class inclut maintenant l’intégration des notes et assignations pour les élèves de Grande Bretagne.
    • OneNote intègre maintenant une capacité permettant de verrouiller les pages en lecture seule.
    • Teams est disponible sur iOS et Android pour les professeurs et les étudiants.
    • PowerPoint permet aux professeurs d’enregistrer des leçons en incluant les diapositives, l’écriture interactive, la vidéo, la narration. Le professeur peut ensuite publier directement dans la classe Teams. Le streaming ajoute automatiquement els sous-titres à la vidéo.

    Plus d’informations sur : https://blogs.office.com/en-us/2018/01/22/office-365-education-delivers-the-next-wave-of-innovation-for-inclusive-and-collaborative-learning/

     

    Microsoft Intune for Education

    L’an dernier, Microsoft annonçait une version spécifique de Microsoft Intune pour l’Education. Cette année, Microsoft continue son investissement avec :

    • La simplification de la délégation avec des administrateurs supplémentaires (au niveau de l’école, de la ville, etc.)
    • L’ajout de nouveaux paramétrages de configuration pour Windows 10 (profils Wi-Fi, Redéploiement automatique de Windows, gestion de l’énergie)
    • Des éléments sur les périphériques et utilisateurs gérés (par exemple : l’état du déploiement, les journaux d’audit, les rapports Windows Defender, etc.)

    Plus d’informations sur : https://cloudblogs.microsoft.com/enterprisemobility/2018/01/22/new-updates-to-intune-for-education-simplifies-delegation-adds-windows-controls-and-improves-insights/

     

    Source : https://blogs.windows.com/windowsexperience/2018/01/22/microsoft-education-unveils-new-windows-10-devices-starting-at-189-office-365-tools-for-personalized-learning-and-curricula-to-ignite-a-passion-for-stem/

    • 23/1/2018

    [Intune] Datalert! : Enregistrement des périphériques iOS & Android et utilisation du service

    Microsoft s’est associé avec Saaswedo, une entreprise française qui fournit une solution de gestion des dépenses télécom (TEM). C’est une problématique commune à toutes les entreprises : Comment gérer les flottes de forfait et éviter les surprises lors de la facturation ? La solution Datalert de Saaswedo répond à ce besoin en collectant la consommation de données en fonction des emplacements géographique du périphérique. Cette dernière s’intègre à Microsoft Intune pour éventuellement bloquer la consommation de données en fonction de stratégie. La solution vient en sus de Microsoft Intune sous la forme d’un abonnement par périphérique par mois. Elle a notamment été choisie par Gartner comme 2017 Gartner Cool Vendor in Mobile & Wireless Analytic.

    Saaswedo et sa solution Datalert! offre les services suivants :

    • Supervision des connexions (WiFi, 3G/4G, etc.) et données mobiles
      • Analyser les coûts d’itinérance par zone géographique
      • Afficher l’état de la consommation de données à l’échelle de l’entreprise
      • Envoi automatique d’alertes et de notifications personnalisées.
    • Gestion des connexions et de l’itinérance
      • Définition des limites de consommation quotidienne, hebdomadaire et mensuelle des données par utilisateur ou par groupe
      • Blocage de l’itinérance/connexion en fonction des limites définies

    Note : Il est nécessaire de ne pas confondre Datalert! de Saaswedo et la solution DatAlert de Varonis. Cette dernière est une solution de sécurité sur les données entrantes dans l’entreprise.

    Aujourd’hui la solution est disponible pour les périphériques iOS et Android.

    Le but de cette série d’articles est de faire un tour d’horizon de l’intégration entre Microsoft Intune et Datalert avec les phases de mise en œuvre et d’exploitation :

     

    Cette partie de la série se concentre sur l’expérience utilisateur lors de l’enregistrement et l’utilisation du service.

    Avant de démarrer, vous devez disposer d’un abonnement Microsoft Intune. A date d’écriture de cet article (Décembre 2017), Datalert s’intègre uniquement à une configuration Microsoft Intune en mode autonome.

    Enregistrement sur iOS et Android

    Dans l’article précédent, nous avons déployé l’application DatAlert! sur les périphériques iOS et Android. Cette dernière doit donc apparaître sur le périphérique :

    Note : Ceci requiert bien entendu que le périphérique soit enregistré dans la solution d’administration.

     

    L’utilisateur peut donc lancer l’application pour procéder à l’enregistrement. Un écran de bienvenue, explique l’intérêt de l’application et invite l’utilisateur à configurer le service. Deux options d’enregistrement sont proposées :

    • Via le numéro de téléphone. Vous devez renseigner le numéro de téléphone. Un message vous sera envoyé avec un code à utiliser pour confirmer l’enregistrement.
    • Via le compte Azure Active Directory de l’utilisateur auquel la licence Microsoft Intune (ou EMS) est associée. Cette méthode de connexion requiert l’application Microsoft Authenticator. L’utilisateur doit au préalable avoir ajouté son compte Azure Active Directory. Si cela n’a pas été fait, l’application est lancée pour qu’il effectue l’opération lui-même.

     

    Quelle que soit la méthode, l’application est ensuite configurée. Vous pouvez cliquer sur Terminer. Vous arrivez ensuite sur l’écran principal. Une notification informe l’utilisateur qu’il peut être notifier et que les données consommées peuvent être comptabilisées. Saaswedo précise que la puce GPS n’est pas utilisée. L’utilisateur est ensuite invité à valider l’accès aux données de localisation.

     

    Expérience Utilisateur de l’application

    L’application permet à l’utilisateur de suivre sa consommation de données selon trois espaces : Wifi, 3G/4G et Roaming. Il peut filtrer les données sur la journée, par semaine ou par mois.

    Dans la partie Roaming, on retrouve deux types de vue permettant éventuellement d’obtenir une vision globale de toutes les zones ou de focaliser sur une zone en particulier :

     

    Outre les politiques définies par l’administrateur, l’utilisateur peut configurer lui-même des alertes sur les différents compteurs (Wifi, 3G/4G, Roaming) :

     

    L’utilisateur peut recevoir des notifications en Push pour l’informer de différents éléments comme la mise à jour de son forfait par l’administrateur, la nécessité d’ouvrir l’application pour permettre le fonctionnement optimal du service, etc.

     

    Utilisation du service au quotidien par l’administrateur

    Le point d’entrée de l’administrateur est le tableau de bord du portail Datalert!. Il retrouve sur cet espace des éléments comme :

    • Le nombre de lignes non enregistrées
    • Le nombre de lignes muettes et qui n’ont donc pas communiquée pendant une période importante
    • Le nombre de ligne en dépassement.
    • Le coût total de l’itinérance pour la période en cours.
    • Une carte proposant les informations sur l’usage en roaming, en zone Domestique ou Domestique étendu, en Wifi ou le nombre de lignes.
    • Un graphe avec la consommation (itinérance, domestique, domestique étendu, Wifi) par jour. Vous pouvez cliquer sur les valeurs qui vous intéressent afin d’obtenir la liste des lignes concernées.

    • Des diagrammes circulaires par forfait offrant une vue de la consommation par zone. Ce dernier permet de filtrer par opérateur et par forfait. Vous pouvez cliquer sur les valeurs qui vous intéressent afin d’obtenir la liste des lignes concernées.

    • La liste de toutes les lignes en itinérance avec la consommation totale et la possibilité d’envoyer un message ou de désactiver la donnée en itinérance ou en usage domestique. Depuis ce même panneau, vous pouvez lancer des actions plus globales sur chacune des lignes.

    Note : vous pouvez changer l’intervalle du tableau de bord en haut à gauche pour avoir les informations sur la journée, la semaine, le mois, les 30 derniers jours (par défaut) ou un intervalle personnalisé.

     

    L’espace Lignes affiche l’ensemble des lignes importées ou enregistrées dans le service. On retrouve pour chaque ligne :

    • Le nom/prénom de l’utilisateur
    • Le numéro de téléphone. Il est notamment possible de cliquer sur le numéro pour lancer l’application associée à cette action et éventuellement joindre l’utilisateur.
    • Le système d’exploitation (Android ou iOS)
    • L’opérateur et le pays
    • Le forfait
    • La période d’étalement du forfait
    • La consommation totale en itinérance
    • La consommation totale Domestique
    • Le nombre d’alertes générées et la stratégie appliquée
    • La date de dernière connexion
    • Les tags d’identification associés à la ligne : Ces derniers permettent de filtrer selon vos besoins (par service, fonction, etc.)

    La partie haute permet d’afficher en lieu et place de la consommation : Les coûts ou le pourcentage de consommation.

    Une fonction permet la recherche par utilisateur, numéro de téléphone ou tag. La liste est filtrable selon certaines caractéristiques de lignes :

    • En dépassement
    • En itinérance
    • Non enregistrées
    • Sans forfait,
    • Muettes

     

    Note : Il est possible d’exporter les informations.

     

    Lorsque, vous sélectionnez une ou plusieurs lignes, un menu est disponible pour permettre de choisir une action à appliquer :

    • Définir le forfait des lignes
    • Dissocier la politique télécom
    • Envoyer un message parmi ceux définit dans les réglages.
    • Gérer les étiquettes/tags
    • Envoyer un lien d’enregistrement (email ou SMS)
    • Révoquer la ligne
    • Supprimer la ligne
    • Activer ou désactiver l’itinérance
    • Activer ou désactiver l’usage de la donnée
    • Synchroniser le forfait lorsque vous avez opéré un changement sur ce dernier.

     

     

    En cliquant sur une ligne, vous pouvez obtenir une vue plus détaillée avec des diagrammes plus précis de la consommation Wifi, domestique ou en itinérance. On retrouve aussi un tableau de consommation, une carte du monde permettant de voir la répartition et le coût total de l’itinérance.

     

    Pour les périphériques Android uniquement, une vue permet de voir la répartition de la consommation de données par application. Celle-ci peut être affichée en cliquant sur la flèche rouge sur la partie gauche de l’écran.

     

    Suivi de la consommation par Applications

    Outre les fonctions vues précédemment, Datalert! a ajouté récemment une fonctionnalité permettant de suivre la consommation de données par application. Cette fonctionnalité est disponible pour les systèmes Android uniquement. En effet, la plateforme iOS bride ces usages.

    Vous pouvez accéder au tableau de bord via le menu Apps. Le tableau d’accueil comprend :

    • Un diagramme circule de répartition des applications selon un nombre défini.
    • Le nombre total d’applications détectées
    • La répartition par plateformes
    • La répartition entre applications dites professionnelles et personnelles
    • Le top des applications avec le volume de données générées et le pourcentage associé. Une barre de recherche permet de se focaliser sur une application spécifique.

    Le tableau de bord peut être lorsque les données ont été générées en itinérance, Domestique, Domestique étendu et Wifi.

     

    Le bouton orné d’un personnage à gauche permet de passer sur une vue par ligne affichant :

    • Les données générées en itinérance, Domestique, Domestique étendue, Wifi
    • Le nombre total d’applications
    • Le top 3 des applications et la consommation associée

     

    Le bouton orné d’une étoile permet de catégoriser les applications entre usage personnel et professionnel :

     

    Conclusion

    Vous avez pu voir une solution de gestion des dépenses télécom (TEM) complète qui ne cesse de s’étoffer. Son intégration avec Microsoft Intune rend la solution de gestion de périphériques mobiles (MDM) plus complète pour les entreprises qui veulent pouvoir correctement gérer les coûts associés aux abonnements téléphoniques.

    • 23/1/2018

    [SCCM] La Technical Preview 1801 de System Center Configuration Manager est disponible

    Microsoft vient de mettre à disposition la Technical Preview 1801 (5.0.8611.1000) de System Center Configuration Manager. Pour rappel, ConfigMgr a subi une refonte de sa structure pour permettre des mises à jour aisées de la même façon que l’on peut le voir avec Windows 10. Si vous souhaitez installer cette Technical Preview, vous devez installer la Technical Preview 1711 puis utiliser la fonctionnalité Updates and Servicing (nom de code Easy Setup).

    Note :  La mise à niveau échoue si vous avez un serveur de site en mode passif. Ceci peut être le cas si vous utilisez la Technical Preview 1706, 1707, 1708, 1709, 1710, 1711 ou 1712. Vous devez alors désinstaller le serveur de site en mode passif.

     

    System Center Configuration Manager TP 1801 comprend les nouveautés suivantes :

    Administration

    • L’administrateur peut créer des déploiements phasés (Phased deployment) afin d’automatiser et coordonner le séquencement du déploiement d’un logiciel sans avoir à créer plusieurs déploiements. Ceci permet de choisir plusieurs collections et des seuils de validation (pourcentage de succès, nombre de clients installés) pour passer à la collection suivante. Notez que pour l'instant cette fonctionnalité n'a pas d'impact sur les clients ; elle est dans cette version uniquement esthétique.
    • On retrouve du Reporting sur le Co-Management depuis la partie Monitoring – Upgrade Readiness – Co-Management. On retrouve notamment le pourcentage de périphériques dans un mode co-géré, la distribution par système d’exploitation, l’état de co-gestion (Azure-AD, Hybrid Azure AD, en échec), la répartition des périphériques par fonctionnalité (stratégies de conformité, Windows Update for Business, etc.).
    • Il est maintenant possible de réassigner un point de distribution vers un autre site primaire sans avoir à redistribuer le contenu. Ceci ne fonctionne uniquement si le système de site ne comprend le rôle point de distribution.
    • Amélioration de l’inventaire matériel pour que les nouvelles classes ajoutées puissent supporter des propriétés de type chaine de caractères avec une longueur de plus de 255 caractères. Ceci ne s’applique pas aux clés.
    • La partie Software Center des paramétrages du client affiche maintenant un espace de prévisualisation du logo et/ou du nom de l’organisation.
    • Un nouveau paramétrage du client permet de cacher les applications non approuvées du Software Center. Ainsi, les applications disponibles pour l’utilisateur mais qui requièrent une approbation sont cachées à l’utilisateur.
    • Arrivé il y a quelques Previews, la fonctionnalité de création et exécution des scripts PowerShell depuis la console ConfigMgr directement sur des collections se voit améliorée. Il est maintenant possible d’importer des scripts PowerShell signées. Notez qu’il n’est pas possible de copier/coller ce genre de script.

    Gestion des paramétrages

    • Les stratégies Windows Defender Application Guard proposent deux nouveaux paramétrages d’interaction de l’hôte :
      • Websites can be given access to the host’s virtual graphics processor.
      • Files downloaded inside the container can be persisted on the host.

    Gestion des mises à jour logicielles

    • Grace aux retours sur UserVoice, il est maintenant possible de planifier des règles de déploiement automatique (ADR) décalée du jour de base. Par exemple, le but est de décaler l’évaluation deux jours après le deuxième mardi du mois.

     

    Plus d’informations sur : https://docs.microsoft.com/en-us/sccm/core/get-started/capabilities-in-technical-preview-1801

    • 22/1/2018

    [Azure] Les annonces au 22 Janvier 2018

    Voici le récapitulatif des annonces faites par Microsoft concernant sa plateforme Microsoft Azure.

    Parmi les annonces, on retrouve notamment :

    General

    • Preview des budgets au niveau de l’abonnement via les APIs ARM. L'API budgets vous permet de définir un budget pour un abonnement, ainsi que plusieurs seuils de notification. À titre d'exemple, vous pourriez avoir un abonnement dans lequel vous établissez un budget de 1 000 $ et des notifications de configuration à 25 %, 50 %, 75 % et 100 %. Ces avis seraient déclenchés lorsque vos coûts d'utilisation excèdent 250 $, 500 $, 750 $ et 1 000 $ respectivement.
    • Microsoft fait l’acquisition d’Avere Systems pour accélérer l’innovation du traitement haute performance pour les industries média et divertissement. Avere Systems fournit une solution combinant des technologies de caching et de système de fichiers pour améliorer les problématiques de performance.

    Azure MarketPlace

    Azure Network

    • Disponibilité Générale des règles augmentées pour les Network Security Groups. Les Augmented rules simplifient la définition de la sécurité pour les réseaux virtuels, vous permettant de définir des stratégies de sécurité réseau plus vastes et complexes, avec moins de règles. Vous pouvez combiner plusieurs ports, plusieurs adresses IP explicites, des étiquettes de service et des groupes de sécurité d'application en une seule règle de sécurité facile à comprendre.

    Azure Security Center

    IaaS

    • Disponibilité Générale d’Accelerated Networking pour Windows et Linux. Cette fonctionnalité permet de fournir jusqu’à 30Gbps pour le réseau. AN fournit une latence réseau ultra-faible et constante grâce au matériel programmable d'Azure et à des technologies telles que SR-IOV. En déplaçant une grande partie de la pile réseau définie par le logiciel Azure hors des CPU et dans des SmartNIC, les cycles de calcul sont récupérés par les applications, ce qui allège la charge sur le VM, diminue la gigue et réduit les incohérences de latence. Les séries prises en charge comprennent D/DSv2, D/DSv3, E/ESv3, F/FS, FSv2 et Ms/Mms.

     

    Azure Stack

    Azure Information Protection

    Operations Management Suite

    Azure Log Analytics

    Azure Backup

     

    Azure Monitor

    Azure SQL

    Azure Analysis Services

    Azure Data Factory

    • Public Preview des outils visuels pour Azure Data Factory v2. L'objectif principal des outils visuels d’ADF est de vous permettre d'être productif avec ADF en mettant en place des pipelines rapidement sans avoir besoin d'écrire une seule ligne de code. Vous pouvez utiliser une interface simple et intuitive sans code pour glisser-déposer des activités sur une toile de pipeline, effectuer des tests, déboguer de manière itérative, déployer et surveiller les exécutions de votre pipeline. On retrouve le support de toutes les activités de flux de contrôle : HDInsight Hive, HDInsight Pig, HDInsight Map Reduce, HDI Streaming, HDI Spark, U-SQL, Stored Procedure, Web, For Each, Get Metadata, Look up, Execute Pipelin, HDI (on-demand, BYOC), ADLA, Azure Batch.
    • De nouveaux connecteurs dans Azure Data Factory v2 dont notamment : Amazon Marketplace Web Service (Beta), Azure Database for PostgreSQL, Concur (Beta), Couchbase (Beta), Drill (Beta), Google BigQuery (Beta), Greenplum (Beta), HBase, Hive, HubSpot (Beta), Impala (Beta), Jira (Beta), Magento (Beta), MariaDB, Marketo (Beta), Oracle Eloqua (Beta), Paypal (Beta), Phoenix, Presto (Beta), QuickBooks (Beta), SAP Cloud for Customer (C4C), ServiceNow (Beta), Shopify (Beta), Spark, Square (Beta), Xero (Beta), et Zoho (Beta).
    • .

    HDInsight

    • Baisse de jusqu’à 53% du prix d’Azure HDInsight.
    • Baisse de jusqu’à 80% du prix pour R Server pour Azure HDInsight. Ceci réduit le coût à 0.016 par cœur par heure.
    • Disponibilité Générale d’Apache Kafka sur Azure HDInsight permettant de construire des solutions d'analyse en temps réel de type entreprise, open-source, telles que l'IoT, la détection des fraudes, l'analyse de flux de clics, l'analyse sociale et plus encore avec le SLA Azure HDInsight à 99,9%.
    • Public Preview de l’intégration avec Power BI direct query permettant de créer des rapports dynamiques basés sur les données et métriques que vous avez sur vos clusters Interactive Query dans Azure BLOB store ou Azure Data Lake store.

    Azure IoT

    Autres services

    • 22/1/2018

    [EMS] Nouvelle vidéo EndPoint Zone pour introduire 2018

    Brad Anderson (Corporate Vice President, Enterprise Client & Mobility) a publié une nouvelle vidéo pour faire un bilan sur 2017 et introduire 2018. Configuration Manager a dépassé 100 millions de périphériques. C’est le seul service dans cette situation avec Office 365, Azure Active Directory et Windows Defender. Il présente les nouveautés de décembre et ses prédictions pour l’année 2018.

    • 21/1/2018

    Microsoft mis à jour son kit de laboratoire pour Microsoft 365

    Microsoft a mis à jour son kit permettant de créer un laboratoire de déploiement et de gestion de Windows 10 pour Microsoft 365. Ce Laboratoire vous permet de gérer Windows 10 Enterprise et Office 365 Pro Plus de manière moderne. Il inclut :

    • Windows 10 Enterprise, Version 1709 (Fall Creators Update)
    • System Center Configuration Manager, version 1702
    • Windows Assessment and Deployment Kit for Windows 10, version 1709
    • Microsoft Deployment Toolkit (8443)
    • Microsoft Application Virtualization 5.1
    • Microsoft BitLocker Administration and Monitoring 2.5 SP1
    • Windows Server 2016
    • Microsoft SQL Server 2014

    On retrouve différentes solutions et scénarios prévus comme :

    • Windows Analytics Update Compliance
    • Gérer Windows 10 avec Configuration Manager
    • Gérer Office 365 ProPlus avec Configuration Manager
    • Windows Information Protection
    • Windows Defender Advanced Threat Protection
    • Windows Defender Application Guard
    • Windows Defender Exploit Guard
    • Windows Hello
    • Credential Guard
    • Device Encryption (MBAM)
    • Device Guard - User Mode Code Integrity
    • Remote Access (VPN)
    • Windows Analytics Upgrade Readiness
    • Desktop Bridges
    • Browser Compatibility
    • Windows App Certification Kit
    • Application Virtualization

    Télécharger Microsoft 365 powered device lab kit

    • 21/1/2018

    [Windows 10 1709] Mise à jour sur le problème de BitLocker/DMA

    Je vous en parlais il y a quelques semaines, un problème touche Windows 10 1709 et la stratégie visant à désactiver les périphériques Direct Memory Access (DMA) lorsque l’ordinateur est verrouillé. En effet la sécurité de cette dernière a été durcie, ce qui n’a pas été sans conséquence sur certains périphériques où BitLocker était activé.

    Microsoft vient de confirmer qu’il travaille sur un correctif qui sera proposé au travers de Windows Update. Dans l’immédiat, il est recommandé de désactiver la stratégie « Disable new DMA devices when this computer is locked ».

    Source : https://blogs.technet.microsoft.com/secguide/2018/01/18/issue-with-bitlockerdma-setting-in-windows-10-fall-creators-update-v1709/

    • 20/1/2018

    Un sondage sur les entités de sécurité locales (utilisateurs, groupes, etc.)

    Microsoft cherche à comprendre si les entreprises utilisent toujours les entités de sécurité locales (utilisateurs ou groupes) sur Windows Server dans des environnements avec Active Directory.

    Prenez quelques secondes pour répondre au sondage.

    • 20/1/2018

    [SCCM 1710] Publication du Correctif Cumulatif (KB4057517) pour Configuration Manager 1710

    L’équipe ConfigMgr a publié un correctif cumulatif à destination de System Center Configuration Manager 1710. Le correctif s’applique au serveur de site, aux consoles, et aux clients.

    Note : les sites secondaires doivent être mis à jour manuellement et une procédure permet de vérifier la mise à jour effective de leurs bases de données.

    Parmi les corrections, on retrouve :

    Clients

    • Les clients qui utilisent Azure Active Directory (Azure AD) pour l'authentification ne communiquent pas correctement avec un Management Point. Ce problème se produit si le point de gestion est distant du serveur du site et configuré en utilisant un compte utilisateur pour la communication SQL.
    • Les clients Configuration Manager 1710, ne sont pas mis à niveau sur les systèmes qui exécutent Windows Server 2008 SP2. Le programme d'installation du client, Ccmsetup.exe, se termine de manière inattendue, et une erreur similaire à ce qui suit est enregistrée dans le journal de l'application:

    Faulting application ccmsetup.exe, version 5.0.8577.1000, time stamp 0x5a03cc4c, faulting module KERNEL32.dll!K32EnumProcessModules

    • Si un client Configuration Manager redémarre pendant le processus de réessaie d'un téléchargement de stratégie de séquence de tâches, cette séquence de tâches ne s'exécute pas automatiquement après le redémarrage. La séquence de tâches peut être retentée manuellement après le redémarrage.

    Systèmes de site

    • La demande Client Notification Restart est traitée incorrectement par les Management Points distants. Ceci engendre qu'un fichier de notification. bld reste dans le dossier \MP\Outboxes\bggb. box du Management Point distant.
    • Les messages d'état relatifs à la mise hors service provenant d'ordinateurs clients cogérés sont mal traités. Les erreurs suivantes sont consignées dans le fichier Statesys.log:

    SQL MESSAGE: spProcessStateReport - Error: Message processing encountered a SQL error 547 at record 14 for TopicType 810: "The MERGE statement conflicted with the CHECK constraint "ClientCoManagementState_MachineID_Partition_CK".

    • Les messages d'état envoyés par les utilisateurs Azure AD ne peuvent pas être traités. Ceci provoque des erreurs qui ressemblent aux suivantes pour être enregistrées dans le fichier Statesys.log:

    "Conversion failed when converting from a character string to uniqueidentifier.", Line 0 in procedure ""

    Gestion de contenu et de la distribution de logiciels

    • Le temps de bascule configuré pour le contenu n'est pas respecté si les points de distribution ou leur contenu sont inaccessibles. Dans cette situation, les clients basculent plus rapidement que le délai spécifié.
    • La re tentative de téléchargement de fichier unique volumineux, tel qu'un fichier de mise à jour Office 365, peut échouer sur un serveur de site avec l'une ou l'autre des erreurs suivantes enregistrées dans le fichier Patchdownload.log:

    ERROR: DownloadContentFiles() failed with hr=0x800700b7

    ERROR: DownloadContentFiles() failed with hr=0x800362et

    • L'Assistant d'installation de l’application Office 365 peut essayer de télécharger du contenu à partir d'un canal incorrect. Ceci provoque des échecs de téléchargement.
    • La persistance du contenu dans le paramètre de cache client des propriétés du paquet n'est pas respecté par les clients. Ceci entraîne la suppression du contenu du paquet lorsque le cache client est effacé via l’applet Configuration Manager.

    Stratégies d’accès conditionnel et paramétrages

    • Les politiques d'accès conditionnel peuvent bloquer l'accès aux applications Office 365 pour les périphériques liés au domaine après la migration vers Intune standalone.

    Gestion des mises à jour logicielles

    • Le téléchargement des mises à jour express peut échouer sur les clients Windows 10 en raison d'un problème qui affecte les fichiers des dossiers temporaires et des dossiers cache. Dans ce cas, les erreurs qui ressemblent aux suivantes sont enregistrées dans le fichier DeltaDownload.log:

    HttpSendResponseEntityBody failed with error 1006.

    NO_ERROR == dwRetVal, HRESULT=800703ee

    NO_ERROR == dwRetVal, HRESULT=800704cd

    HttpSendResponseEntityBody failed with error 1229.

     

    Console d’administration

    • La console Configuration Manager peut se terminer inopinément après avoir navigué vers un emplacement de contenu dans l'Assistant d'installation du client Office 365.

     

    Pour installer la mise à jour, rendez-vous dans la partie Updates and Servicing de la console d’administration.

    Plus d’informations sur la KB4057517 Update rollup for System Center Configuration Manager current branch, version 1710

    • 18/1/2018

    Microsoft propose un Professionnal Degree centré sur l’IT au Microsoft Professional Program

    Il y a un an, Microsoft annonçait un programme Microsoft Professionnal Degree (MPD) permettant d’obtenir un diplôme calibré sur le curriculum universitaire pour les professionnels de l’informatique. L’initiative est construite sur la plateforme Open edX d’Azure. L’objectif de Microsoft est d’appliquer d’offrir du Learning as-a-Service. Aujourd’hui, Microsoft vient d’ouvrir les inscriptions pour le programme IT Support.

     Microsoft propose déjà plusieurs autres programmes : Data Science, Big Data Engineering, Cloud Administration, DevOps et Front end Web Development.

     

    Plus d’informations :  https://borntolearn.mslearn.net/b/weblog/posts/the-microsoft-professional-program-now-includes-it-support

    • 18/1/2018

    [Intune] Datalert! : Configuration de la solution de gestion des dépenses Telecom (TEM)

    Microsoft s’est associé avec Saaswedo, une entreprise française qui fournit une solution de gestion des dépenses télécom (TEM). C’est une problématique commune à toutes les entreprises : Comment gérer les flottes de forfait et éviter les surprises lors de la facturation ? La solution Datalert de Saaswedo répond à ce besoin en collectant la consommation de données en fonction des emplacements géographique du périphérique. Cette dernière s’intègre à Microsoft Intune pour éventuellement bloquer la consommation de données en fonction de stratégie. La solution vient en sus de Microsoft Intune sous la forme d’un abonnement par périphérique par mois. Elle a notamment été choisie par Gartner comme 2017 Gartner Cool Vendor in Mobile & Wireless Analytic.

    Saaswedo et sa solution Datalert! offre les services suivants :

    • Supervision des connexions (WiFi, 3G/4G, etc.) et données mobiles
      • Analyser les coûts d’itinérance par zone géographique
      • Afficher l’état de la consommation de données à l’échelle de l’entreprise
      • Envoi automatique d’alertes et de notifications personnalisées.
    • Gestion des connexions et de l’itinérance
      • Définition des limites de consommation quotidienne, hebdomadaire et mensuelle des données par utilisateur ou par groupe
      • Blocage de l’itinérance/connexion en fonction des limites définies

    Note : Il est nécessaire de ne pas confondre Datalert! de Saaswedo et la solution DatAlert de Varonis. Cette dernière est une solution de sécurité sur les données entrantes dans l’entreprise.

    Aujourd’hui la solution est disponible pour les périphériques iOS et Android.

    Le but de cette série d’articles est de faire un tour d’horizon de l’intégration entre Microsoft Intune et Datalert avec les phases de mise en œuvre et d’exploitation :

     

    Cette partie de la série se concentre sur la configuration du service Datalert! de gestion des dépenses Telecom (TEM).

    Avant de démarrer, vous devez disposer d’un abonnement Microsoft Intune. A date d’écriture de cet article (Décembre 2017), Datalert s’intègre uniquement à une configuration Microsoft Intune en mode autonome.

    La configuration de la solution de gestion des dépenses Telecom (TEM) Datalert! se fait via le portail qui vous est communiqué lors de la souscription au service.

    Configuration du service

    Lorsque vous arrivez sur le portail, vous pouvez cliquer sur Réglages. Depuis cet espace, on retrouve différentes configurations possibles que nous aborderons dans ce billet. On retrouve une première partie Personnalisation qui permet d’uploader un logo et de choisir les couleurs du portail.

     

    La partie Comptes permet d’ajouter des comptes qui accéderont au service pour permettre la gestion et la configuration.  Une option permet de spécifier l’utilisation comme Super admin ; c’est-à-dire disposant des droits étendus dans la partie Réglages.

     

     

    Assistant de configuration initiale

    La mise en service offre un assistant de configuration visant à vous aider à peupler votre tenant avec les informations nécessaires à son fonctionnement. On retrouve notamment :

    • L’import des lignes qui constituent votre parc de téléphonie
    • L’ajout des opérateurs et forfaits de votre flotte
    • La définition des zones d’itinérance (roaming) pour chacun des forfaits
    • Les politiques télécom qui sont appliquées aux alertes 3G/4G et roaming
    • L’association des lignes
    • La communication envoyée à ces lignes pour le lancement du service.

     

    D’un point de vue pratique, il est recommandé d’importer toutes les lignes associées à un seul opérateur à la fois. Répétez l’assistant pour tous les opérateurs que vous utilisez et leurs lignes associées.

    Vous pouvez accéder à cet assistant lors de l’ouverture du service ou via l’espace Réglages où vous pouvez cliquer sur Déploiement.

     

    La première étape permet d’utiliser une matrice d’import au format CSV pour créer et renseigner les lignes téléphoniques associées aux utilisateurs. La page permet de récupérer un fichier type ainsi qu’un fichier d’exemple. La matrice permet de renseigner les informations suivantes sur l’utilisateur :

    • Nom
    • Prénom
    • Email de l’utilisateur
    • Matricule
    • Numéro de téléphone
    • Tag utilisé pour regrouper les lignes et filtrer dans la console du service
    • Si la ligne permet de recevoir des SMS

     

    Une fois rempli, vous pouvez importer le fichier dans l’assistant du service et passez à l’étape de définition de l’opérateur et du forfait. Vous pouvez soit créer un nouveau forfait ou utiliser un opérateur/forfait existant. Cette page permet de choisir le fair use associé au forfait ainsi que le jour de facturation auquel réinitialiser le compteur.

     

    Sur l’écran suivant, vous pouvez définir les différentes zones de roaming du forfait que vous avez créé ainsi que les limites de consommation de données et le coût au-delà du seuil.

    Vous pouvez ajouter autant de zones que vous souhaitez et sélectionnez les pays associés. Le service Datalert! vous facilite le regroupement avec la capacité de filtrer sur la base des 7 zones principales : Asie, Europe, Afrique, Amérique du Nord, Amérique du Sud, Océanie, Antarctique. Vous pouvez ensuite choisir les pays.

     

    La page suivante permet de configurer les politiques télécom associées à l’opérateur et au forfait sélectionné. Vous pouvez ainsi spécifier des alertes sur la consommation 3G/4G ou sur l’itinérance. Vous devez aussi définir les comportements : Envoi d’un message, Envoi d’un message au manager, désactivation de la data.

    On retrouve en outre la possibilité de configurer des alertes (Email + Push) de manière répétée ou non sur le statut de connexion ne permettant pas la remontée des informations dans les situations suivantes :

    • L’application est fermée par l’utilisateur.
    • Le mode économie d’énergie ou exécution en arrière-plan est désactivé.
    • Le périphérique est éteint ou hors réseau.
    • L’application a été supprimée par l’utilisateur.

    Enfin, il est possible de définir les options de blocage MDM en cas de dépassement des limites. Cela permet notamment de laisser la possibilité à l’utilisateur de réactiver manuellement les connexions de données. Dans ce cas de figure, vous pourrez choisir d’envoyer un message, d’envoyer un message au manager et de désactiver la donnée en spécifiant éventuellement un intervalle de récurrence de ces actions.

    L’écran suivant permet de sélectionner les lignes à laquelle vous souhaitez appliquer la configuration que vous êtes en train de créer.

     

    La dernière étape de configuration permet de communiquer le déploiement aux utilisateurs en envoyant soit un SMS de notification, soit un email d’information.

     

    Enfin, vous retrouvez un résumé de la configuration effectuée.

     

    Ajout d’opérateurs et de forfaits

    Si vous souhaitez ajouter des opérateurs et forfaits sans passer par l’assistant, vous pouvez naviguer dans les réglages et dans la partie Forfait/Zones pour accéder aux mêmes capacités permettant d’ajouter des opérateurs, de nouveaux forfaits à un opérateur existant, ou des zones à forfait existant.

     

    Vous pouvez rajouter autant de zones que correspondant aux caractéristiques d’un forfait donné.

     

    Ajout d’une ligne téléphonique

    L’ajout de lignes téléphoniques peut se faire indépendamment de l’assistant sur la page principale en naviguant dans la partie Lignes. Un bouton Ajouter ligne est proposé et ouvre une fenêtre permettant d’ajouter des lignes en spécifiant le matricule, le prénom, le nom, le courriel et le numéro de téléphone de l’utilisateur.

     

    Une fois la ligne crée, vous pouvez définir un forfait depuis la partie Choisir une action… - Définir un forfait.

    Vous aurez la possibilité de choisir parmi les opérateurs et forfait existants tout en choisissant le jour de début de forfait dans le mois.

     

    Configuration des managers et de notifications

    Lorsque vous arrivez sur le portail, vous pouvez cliquer sur Réglages. Depuis cet espace, on retrouve différentes configurations possibles comme l’ajout de Managers et pour notifier sur les alertes d’itinérance ou de dépassement de la consommation.

    La partie Notifications permet de configurer les messages de notifications qui seront envoyés aux différentes personnes. Vous pouvez notamment configurer différentes langues pour les types d’alertes :

     

    Ajout de politiques télécom

    De la même façon, il est possible de rajouter des stratégies ou politiques télécom indépendamment de l’assistant depuis les Réglages. Les options sont accessibles dans Politique télécom et permettent de rajouter des politiques à des forfaits précédemment créés.

    On retrouve un écran similaire à celui de l’assistant permettant de définir les seuils et alertes.

     

    Dans un billet suivant, nous abordons l’usage de la solution au quotidien.

    • 17/1/2018

    [Windows 10] La fonctionnalité d’accès aux fichiers à la demande arrive dans Work Folders

    Microsoft vient d’annoncer que la dernière version Windows Insiders de Windows 10 vient d’intégrer la fonctionnalité permettant d’accéder aux fichiers à la demande (On-Demand File Access) apparaissait pour Work Folders. A l’image de son intégration à OneDrive, ceci permet d’éviter l’impact sur la bande passante ou sur l’espace de stockage local.

    Ceci permet d’afficher les fichiers dans l’explorateur sans pour autant les télécharger en avance de phase. Lorsque l’utilisateur clique sur le fichier, ce dernier est téléchargé de manière à l’ouvrir.

    Plus d’informations sur : https://blogs.technet.microsoft.com/filecab/2018/01/08/work-folders-on-demand-file-access-feature-for-windows-10/