Nouveau !
Microsoft vient d’annoncer la bêta des baselines de paramétrages de sécurité pour les applications Office 2016 et Office 365 ProPlus. Ces dernières s’utilisent avec Security Compliance Manager (SCM) ou par GPO. Les lignes de base permettent de vérifier la conformité d’une application vis-à-vis des bonnes pratiques et recommandations Microsoft. Les paramètres recommandés correspondent aux modèles d’administration publiés (Version 4639) en Décembre 2017. Microsoft a fait une revue de tous les paramétrages proposés pour ne se concentrer que sur ce qui a une valeur pour ces nouvelles versions d’Office. Microsoft a par exemple activé le paramétrage Block macros from running in Office files from the Internet pour éviter les attaques avec des fichiers Excel provenant d’Internet. On retrouve d’autres atténuations concernant Flash.
Plus d’informations sur : https://blogs.technet.microsoft.com/secguide/2018/01/29/security-baseline-for-office-2016-and-office-365-proplus-apps-draft/
Téléchargez Security baseline for Office 2016 and Office 365 ProPlus apps – DRAFT
En parallèle des annonces faites sous Windows 10, Microsoft a procédé à des annonces concernant Office. Pour Office 365 ProPlus, Microsoft vient d’ajuster la stratégie de support en annonçant que :
De nombreux clients propose Office 365 ProPlus au travers de Remote Desktop et des solutions VDI. Microsoft va proposer des capacités nouvelles pour Remote Desktop et la virtualisation via les nouvelles versions de Windows 10 Enterprise et Windows Server Semi-Annual Channel.
Microsoft a en outre annoncé l’arrivée d’Office 2019 pour la seconde partie de l’année 2018 (surement octobre) avec l’ensemble des applications et des composants serveurs correspondants (Exchange, SharePoint, Skype for Business). Office 2019 sera supporté sur toutes les versions en cours de support de Windows 10 Semi-Annual Channel (SAC) ainsi que sur Windows 10 Enterprise LTSC 2018 et la prochaine version LTSC de Windows Server. Cette version ne sera disponible que sous la forme d’une installation Click-to-Run (C2R). L’installation via la technologie MSI ne sera plus proposée que pour les composants serveurs (Exchange, SharePoint et Skype for Business). Il est à noter que Microsoft fait une entrave à sa stratégie habituelle de support puisque cette version sera supportée pour 5 ans en support standard et 2 ans supplémentaires en support étendu (contre 5 habituellement). Ainsi le support étendu de cette version sera fixé pour le 14 octobre 2025.
Source : https://blogs.technet.microsoft.com/windowsitpro/2018/02/01/changes-to-office-and-windows-servicing-and-support/
Comme pour Windows 10 1511, Microsoft vient d’annoncer l’extension du support pour Windows 10 1607 (Anniversary Update), 1703 (Creators Update) et 1709 (Fall Creators Updates). Ainsi ces versions se voient octroyer 6 mois additionnels de support et de mises à jour importantes et critiques.
Version
Date de publication
Fin de support
Fin de maintenance suplémentaire pour Enterprise, Education
Windows 10 1511
10 Novembre 2015
10 Octobre 2017
10 Avril 2018
Windows 10 1607
2 août 2016
9 Octobre 2018
Windows 10 1703
5 Avril 2017
9 Avril 2019
Windows 10 1709
17 Octobre 2017
8 Octobre 2019
Cela signifie que les correctifs cumulatifs ne contiendront plus de nouvelles mises à jour pour corriger des problèmes de fiabilité et de performance. Les mises à jour ne seront disponibles que pour Windows 10 Enterprise et Education. Aucun coût supplémentaire ne sera nécessaire pour obtenir ces mises à jour. Elles pourront être déployées via Windows Update, WSUS ou System Center Configuration Manager.
Note : Si vous tentez d’installer les mises à jour sur Windows 10 Home ou Pro, alors cela engendre une erreur.
Outre cette annonce, Microsoft a annoncé la prochaine version LTSC (anciennement LTSB) pour la fin de l’année 2018. Windows 10 Enterprise LTSC 2018 proposera les mêmes fonctionnalités que la version Windows 10 Semi-Annual Channel (SAC) publiée en parallèle tout en ayant les contraintes habituelles :
Plus d’informations sur : FAQs: Serviced versions of Windows 10
Microsoft vient d’annoncer un changement concernant la publication de mises à jour de sa plateforme anti-logiciels malveillants Windows Defender. En effet, Microsoft va baisser la fréquence à une publication mensuelle. Les mises à jour de plateforme ne sont pas à confondre avec les mises à jour de définition qui permettent d’obtenir la liste des menaces. Les mises à jour de plateforme concernent le client de l’antivirus Windows Defender en lui-même. Ces mises à jour seront publiées via la catégorie Definition Updates et le produit Windows Defender. Elles sont identifiables sous le nom : Update for Windows Defender antimalware platform – KBXXXXXXX (<Version>). Microsoft va peu à peu publier toutes les anciennes versions des plateformes pour permettre à vos clients d’atteindre la version finale.
Si vous utilisez déjà les règles de déploiement automatique (ADR) de System Center Configuration Manager via le modèle à disposition pour les mises à jour de définition, vos règles prennent déjà en compte ce changement.
Ce changement concerne les machines Windows 10 1607 ou plus et Windows Server 2016.
Plus d’informations sur : Monthly antimalware platform updates for Windows Defender
Gartner a publié le résultat de l’étude 2018 sur les plateformes de protection (Endpoint Protection Platforms). L’an dernier, Microsoft était placé dans les Challengers. Cette année Microsoft fait partie des visionnaires. On retrouve assez peu de Leaders avec uniquement Symantec, Sophos et Trend Micro. Le plus surprenant reste la position de Kaspersky et McAfee (anciennement Intel Security) parmi les visionnaires. Ces deux acteurs sont souvent vus comme des références mais les récents changements sur les menaces montrent que ces deux acteurs n’ont pas réussi à confirmer leur position.
Microsoft propose maintenant une suite consistante au travers de Windows Defender et des solutions Application Guard, Application Control, Device Guard, Exploit Guard, Advanced Threat Protection. Microsoft est devenu l’éditeur le plus sollicité lors des appels de demandes de renseignements clients Gartner liés à EPP, et il y a un intérêt significatif à utiliser les fonctionnalités de sécurité de Windows 10 pour réduire les dépenses de sécurité avec les autres fournisseurs.
Concernant Microsoft parmi les forces, on retrouve :
Parmi les faiblesses :
Vous pouvez accéder au rapport sur : Magic Quadrant for Endpoint Protection Platforms
Microsoft vient de publier la Community Technology Preview (CTP) d’un nouveau pack d’administration ou Management Pack (MP) pour Microsoft Azure SQL Database – Managed Instance. Pour rappel, System Center Operations Manager (SCOM) fait partie de la gamme System Center, il propose une supervision souple et évolutive de l’exploitation au niveau de toute l’entreprise, réduisant la complexité liée à l’administration d’un environnement informatique, et diminuant ainsi le coût d’exploitation. Ce logiciel permet une gestion complète des événements, des contrôles proactifs et des alertes, et assure une gestion des services de bout en bout. Il établit des analyses de tendance et des rapports, et contient une base de connaissances sur les applications et le système.
Ce management pack fournit les fonctionnalités suivantes :
Notez que ce pack d’administration nécessite System Center 2012 R2 Operations Manager ou System Center 2016 Operations Manager
Télécharger Microsoft System Center Management Pack (Community Technology Preview) for Microsoft Azure SQL Database – Managed Instance
Voici le récapitulatif des annonces faites par Microsoft concernant sa plateforme Microsoft Azure.
Parmi les annonces, on retrouve notamment :
General
Azure MarketPlace
Azure Storage
Azure Network
Azure Security Center
IaaS
Azure Stack
Enterprise Mobility + Security
Azure Active Directory
Azure Information Protection
Operations Management Suite
Azure Site Recovery
Azure SQL
Cosmos DB
Azure Cognitive Services
Certifications
Azure Government
Autres services
Microsoft vient de publier une mise à jour des outils Surface à destination des ITs pour déployer, gérer et sécuriser les périphériques Surface dans l’entreprise. On retrouve notamment :
Télécharger Surface Tools for IT
Microsoft vient de publier une nouvelle Preview (1.1.203.0) du client pour son service Microsoft Azure Information Protection. Parmi les changements, on retrouve :
Télécharger Azure Information Protection Client Preview
Microsoft vient de mettre à jour (7.0.2.0) le pack d’administration ou Management Pack (MP) SCOM pour superviser SQL Server 2016. Il fonctionne avec SCOM 2012 SP1 ou plus. Cette nouvelle version apporte les éléments suivants :
Télécharger
Microsoft vient de mettre à jour (7.0.2.0) le pack d’administration ou Management Pack (MP) SCOM pour superviser SQL Server 2014. Il fonctionne avec SCOM 2012 SP1 ou plus. Cette nouvelle version apporte les éléments suivants :
En passant chez plusieurs clients, je me suis rendu compte que l’installation des langues supplémentaires pouvait parfois être incomplète. Le but de cet article est de traiter une méthode parmi de nombreuses possibles, permettant de déployer correctement des langues supplémentaires sur Windows 10 durant le déploiement de système d’exploitation (OSD) via System Center Configuration Manager.
Ceux qui connaissent un peu les méthodes récurrentes sur Internet, savent que System Center Configuration Manager ne comprend pas de tâche par défaut permettant le chargement en ligne ou hors ligne de packs de langue. Il faut souvent étendre le produit avec Microsoft Deployment Toolkit (MDT). Ceux qui me connaissent, savent que je suis relativement réticent à l’intégration de MDT à ConfigMgr et ce pour éviter toutes dépendances. Le but est de ne pas trainer une version qui viendrait freiner le rythme des mises à jour de Configuration Manager.
Bien souvent, les administrateurs chargent le pack de langues mais oublie toutes les fonctionnalités de langues supplémentaires qui peuvent être essentielles à l’expérience utilisateur (Cortana, reconnaissance du texte, etc.) de Windows 10. On retrouve notamment les éléments suivants :
Pour récupérer ces packages, on retrouve deux ISOs de fonctionnalités à la demande pour Windows 10 (Features on Demand) :
Il est à noter qu’il est nécessaire de récupérer les nouvelles versions de ces packages pour chaque nouvelle version de Windows 10 (1709, 1803, etc.).
Passons à l’intégration à votre séquence de tâches, commencez par créer un dossier dans les sources de contenu que vous pouvez par exemple appeler : OSD Language Pack Windows 10 1709 fr-fr. Copiez l’ensemble des fichiers CAB à l’intérieur :
Procédez ensuite à la création d’un package sans programme dans System Center Configuration Manager pointant sur ces sources avec un nom similaire (par exemple : OSD Language Pack Windows 10 1709 fr-fr).
Une fois le package créé et distribué sur vos points de distribution, ouvrez votre séquence de tâches. Les packages doivent être chargés avant le démarrage du système d’exploitation. Je vous recommande de créer un groupe appelé Install Language Packs entre l’application de vos Drivers et le groupe Setup Operating System qui doit normalement enchainer sur l’étape Setup Windows and Configuration Manager. Dans ce groupe, vous pouvez ajouter des étapes Run Command Line avec les lignes de commandes suivantes :
DISM /Image:C:\ /add-Package /PackagePath:Microsoft-Windows-Client-Language-Pack_<Architecture>_-<Langue>.cab DISM /Image:C:\ /add-Package /PackagePath:Microsoft-Windows-LanguageFeatures-Basic-<Langue>-Package.cab DISM /Image:C:\ /add-Package /PackagePath:Microsoft-Windows-LanguageFeatures-Handwriting-<Langue>-Package.cab DISM /Image:C:\ /add-Package /PackagePath:Microsoft-Windows-LanguageFeatures-Speech-<Langue>-Package.cab DISM /Image:C:\ /add-Package /PackagePath:Microsoft-Windows-LanguageFeatures-TextToSpeech-<Langue>-Package.cab DISM /Image:C:\ /add-Package /PackagePath:Microsoft-Windows-LanguageFeatures-OCR-<Langue>-Package.cab
Associez le package que vous avez précédemment créé et spécifiez un timeout.
Note : Vous pouvez remplacer C:\ par la variable (par exemple : %OSDisk%) que vous avez éventuellement spécifiée dans la tâche Apply Operating System pour stocker la partition sur laquelle le système d’exploitation a été appliqué. En outre, vous pouvez utiliser les cmdlets PowerShell à condition d’avoir ajouté les composants associés à votre image Windows PE. En effet, par défaut les images de démarrage n’incluent pas les composants : WinPE-DismCmdlets.
Sur l’écran qui suit, j’ai volontairement décorrélé chaque ligne de commande mais je vous recommande l’utilisation d’un script bat ou PowerShell qui inclut l’ensemble des commandes afin d’optimiser votre environnement de séquences de tâches. Plus vous ajoutez des tâches, plus ce dernier grossit en mémoire.
Ensuite dans les sources du package que vous avez créez, procédez à la création du script bat (par exemple SwitchTextSpeechFR.bat) suivant permettant l’édition des clés de registre nécessaire à l’activation des fonctionnalités Speech. Là encore, vous pouvez utiliser PowerShell si vous le souhaitez. Remplacez la langue par la langue que vous chargez.
Reg Load HKU\DefaultTemp "C:\Users\DefaultNTUSER.DAT" Reg Add "HKU\DefaultTemp\Software\Microsoft\Speech_OneCore\Settings\SpeechRecognizer" /v RecognizedLanguage /t REG_SZ /d fr-FR /F Reg UNLoad HKU\DefaultTemp
Note : Vous pouvez ajouter un côté dynamique à ce script en renseignant un paramètre pour définir dynamiquement la langue. C’est très utile pour éviter plusieurs scripts qui effectuent la même chose lorsque vous devez gérer plusieurs langues comme nous le verrons par la suite dans l’article.
Ajoutez ensuite une étape Run Command Line juste après le ou les étapes de chargement des packages. Cette étape doit exécuter le script bat et associant le package qui le contient.
Une fois ceci fait, vous devez aussi spécifier la langue qui sera utilisée par défaut par le système d’exploitation. Deux solutions sont possibles :
La seconde solution est possible en chargeant un fichier de personnalisation Unattend.xml dans la tâche Apply Operating System. Vous pouvez spécifier la langue en dur ou alors utiliser des variables de séquences de tâches. C’est la solution que je recommande pour plus de flexibilité. Vous devez créer un fichier Unattend.xml comprenant les éléments suivants :
<?xml version="1.0" encoding="utf-8"?>
<unattend xmlns="urn:schemas-microsoft-com:unattend">
<settings pass="specialize">
<component name="Microsoft-Windows-International-Core" processorArchitecture="amd64" publicKeyToken="31bf3856ad364e35" language="neutral" versionScope="nonSxS" xmlns:wcm="http://schemas.microsoft.com/WMIConfig/2002/State" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
<InputLocale>%OSDInputLocale%</InputLocale>
<SystemLocale>%OSDSystemLocale%</SystemLocale>
<UILanguage>%OSDUILanguage%</UILanguage>
<UILanguageFallback>%OSDUILanguageFallback%</UILanguageFallback>
<UserLocale>%OSDUserLocale%</UserLocale>
</component>
</settings>
<settings pass="oobeSystem">
</unattend>
Les variables suivantes sont définies :
Note : Si vous ne souhaitez pas utiliser les variables, vous pouvez simplement les remplacer par le code de la langue (par exemple : fr-FR).
Vous pouvez sauvegarder le fichier dans le package que nous avons créé en tout début de ce billet.
Ouvrez ensuite la séquence de tâches et l’étape Apply Operating System. Cochez la case Use an unattended or Sysprep answer file for a custom installation. Spécifiez le package et le nom du fichier Unattend.xml :
Si vous devez gérer plusieurs langues et pour continuer dans la stratégie de cet article, vous pouvez créer des sous-groupes pour chaque langue dans le groupe Install Language Packs. Dans les options du groupe, vous pouvez ajouter une condition basée sur la variable de séquence de tâches %OSDUILanguage% et sa valeur (par exemple qui doit être égale à fr-FR).
Vous pouvez ensuite définir les variables citées plus haut de plusieurs façons :
Bon déploiement !
Microsoft vient de mettre à jour (7.0.2.0) le pack d’administration ou Management Pack (MP) SCOM pour superviser SQL Server 2008, 2008 R2 et 2012. Il fonctionne avec SCOM 2012 SP1 ou plus. Cette nouvelle version apporte les éléments suivants :
Le beta-testing de la certification sur la configuration et l’exploitation d’un cloud hybride avec Microsoft Azure Stack a débuté. L’examen Exam 70-537: Configuring and Operating a Hybrid Cloud with Microsoft Azure Stack est concerné. Pour rappel, les examens bêta ne sont plus gratuits pour éviter que les personnes s’inscrivent sans passer l’examen. Il faut participer à hauteur de 20%.
Vous pouvez alors utiliser gratuitement le code suivant : KDRBNP537DD. Il doit être utilisé avant le 15 Mars 2018.
Attention, il n’y a que 300 places disponibles.
Source : https://borntolearn.mslearn.net/b/weblog/posts/take-beta-exam-70-537-configuring-and-operating-a-hybrid-cloud-with-microsoft-azure-stack-2
Chris Hallum (Windows Security Senior Product Manager – MSFT) va proposer un webcast et un événement de questions/réponses. Il aura lieu le mardi 6 février de 19h à 20h (heure française).
Le Webcast présentera notamment les améliorations de Windows 10 1709 avec un focus sur :
Mais aussi la stack entière avec Office 365, Microsoft Azure et Windows Server.
S’inscrire au Webcast
Un des nouveaux scénarios importants proposés par Windows 10 1709 (Fall Creators Update) est la capacité d’Auto Redéploiement d’une machine (Windows Automatic Redeployment). Les services informatiques peuvent utiliser cette fonctionnalité pour supprimer rapidement les fichiers personnels, les applications et les paramètres et réinitialiser les périphériques Windows 10 à tout moment. Elle permet surtout d’appliquer les paramètres d'origine et conserver l'enregistrement à Azure Active Directory et Microsoft Intune afin que les périphériques soient prêts à l'emploi. Cette opération peut se faire depuis l'écran de verrouillage ou à distance via Microsoft Intune. Elle peut aussi être exécuté avec un package de provisionnement (Windows Configuration Designer ou l’application Setup School PC).
Pour initier un redéploiement automatique à distance via Microsoft Intune, connectez-vous au portail. Naviguez dans Devices – All devices et identifiez la machine que vous souhaitez réinitialiser. Cliquez dessus et sélectionnez Factory reset. Cochez la case Retrain enrollment state and user account et cliquez sur OK.
L’opération de réinitialisation démarre rapidement après la récupération des stratégies.
Le redéploiement automatique peut se faire manuellement depuis la machine à condition que la fonction soit activée et que l’utilisateur ait les droits d’administration.
Pour activer la fonction, connectez-vous au portail Microsoft Intune et naviguez dans Device configuration – Profiles. Procédez à la création d’une stratégie en cliquant sur Create profile. Entrez le nom de la stratégie et choisissez :
Entrez dans la section General et identifiez le paramétrage Automatic Redeployment. Passez la valeur à Allow.
Cliquez deux fois sur OK puis Create. Une fois la stratégie créée, assignez là un groupe avec vos périphériques Windows 10.
Note : Ce groupe doit être créé par vos soins. Je vous invite à lire mon article sur le sujet.
Sur le poste de travail, l’utilisateur doit verrouiller la session (CTRL + L) puis maintenir CTRL + WINDOWS + R. La personne doit renseigner un compte qui fait partie des administrateurs de la machine.
Le redéploiement démarre ensuite.
Une fois terminé, un message apparaît sur l’écran de verrouillage pour signifier le succès de l’opération.