Jean-Sébastien DUCHENE Blog's

Actualité, Tips, Articles sur l'ensemble des Technologies Microsoft (SCCM/SMS, EMS, Microsoft Intune, Microsoft Azure, Windows 10, SCOM, MDOP...)
    • 30/3/2018

    [SCCM 1802] System Center Configuration Manager 1802 est disponible !

    Microsoft vient de mettre à disposition la version finale (5.00.8634.1000) de System Center Configuration Manager 1802. ConfigMgr a subi une refonte de sa structure pour permettre des mises à jour aisées de la même façon que l’on peut le voir avec Windows 10. C’est pourquoi la fonctionnalité Updates and Servicing (nom de code Easy Setup) a été introduite. Vous devez donc utiliser cette dernière pour mettre votre site System Center Configuration Manager 1706. Si vous utilisez System Center 2012 Configuration Manager, vous devez mettre à jour votre site vers System Center Configuration Manager 1702 avant de pouvoir passer à cette version.

    Note : Un script PowerShell est disponible pour permettre d’opter pour la première vague de déploiement.

    System Center Configuration Manager 1802 comprend les nouveautés suivantes :

    Administration

    • Annonce de la dépréciation du support du client Linux et UNIX pour dans un an. En effet, le client ne sera pas inclus dans la version 1902. Configuration Manager 1810 sera la dernière version qui inclura les clients Linux et UNIX. Microsoft recommande l’utilisation d’Operations Management Suite (OMS) pour la gestion des serveurs Linux.
    • Arrivée de la fonctionnalité Management Insights permettant d’obtenir des informations sur l’état de l’environnement en fonction des données de la base de données. Depuis la partie Administration > Management Insights > All, vous pouvez voir :
      • Les applications sans aucun déploiement actif. Ceci permet de vous aider à nettoyer les applications.
      • Les collections sans membres.
      • Les versions de clients dépassées
      • L’évaluation des prérequis Co-Management
      • L’activation de la jointure hybride sur Azure Active Directory pour vos périphériques.
      • La modernisation de vos infrastructures d’identité et d’accès
      • La mise à jour de vos machines vers Windows 10 1709 ou plus.
      • La configuration de Windows Telemetry et de l’identifiant Commercial.
      • La connexion de Configuration Manager à Upgrade Readiness
      • L’utilisation de la nouvelle version du Software Center.
      • La redirection des utilisateurs vers le Software Center en lieu et place du catalogue d’applications
    • Support des périphériques Windows 10 ARM64 pour la gestion traditionnelle via le client SCCM. Ceci inclut en autre l’inventaire matériel et logiciels, les mises à jour logicielles ou la gestion des applications. Le déploiement de système d’exploitation n’est pas supporté.
    • Il est maintenant possible de réassigner un point de distribution vers un autre site primaire sans avoir à redistribuer le contenu. Ceci ne fonctionne uniquement si le système de site ne comprend le rôle point de distribution.
    • Support des certificats CNG (Cryptography API: Next Generation) pour les rôles de système de site en mode HTTPS suivants :
      • Management Point
      • Distribution Point
      • Software Update Point
      • State Migration Point.
    • A partir de cette version, vous pouvez configurer des relations de bascule entre groupe de limites pour les Management Points. Ceci permet d’obtenir un meilleur contrôle pour savoir quel Management Point un client doit utiliser. Lors de la mise à niveau du site vers cette version, Configuration Manager ajoute tous les Management Points n'ayant pas accès à Internet dans le groupe de limites par défaut du site. Ce comportement de mise à niveau garantit que les versions client plus anciennes continuent à communiquer avec les Management Points. Pour tirer pleinement parti de cette fonctionnalité, déplacez vos points de gestion vers les groupes de limites souhaités. Le basculement des Management Points des Boundary Groups ne modifie pas le comportement pendant l'installation du client (ccmsetup). Si la ligne de commande ne spécifie pas le Management Point initial à l'aide du paramètre /MP, le nouveau client reçoit la liste complète des Management Points disponibles. Pour son processus de bootstrap initial, le client utilise le premier Management Point auquel il peut accéder. Une fois que le client s'inscrit sur le site, il reçoit la liste des Management Points correctement triés avec ce nouveau comportement.  Notez que le déploiement de système d’exploitation ne prend pas en compte les groupes de limites.

    • Cloud Management Gateway:
      • La fonctionnalité Cloud Management Gateway n’est plus en préversion.
      • Support d’Azure Resource Manager (ARM) pour le déploiement de la Cloud Management Gateway. Ceci permet de s’affranchir de l’usage des certificats d’administration Azure. L’assistant permet toujours de faire des déploiements classiques puisque la Cloud Management Gateway ne supporte toujours pas le déploiement ARM pour des souscriptions CSP. Il n’existe pas de scénario permettant de migrer une instance CMG classiques vers le modèle ARM. Il faut pour cela recréer une nouvelle instance et supprimer l’ancienne.
    • Run Script: Fonctionnalité de création et exécution des scripts PowerShell
      • A partir de cette version, la fonctionnalité Run Scripts n’est plus en préversion.
      • Il est maintenant possible de configurer des étendues de sécurité pour la fonctionnalité Run Scripts.
      • Microsoft a intégré une expérience de supervision intégrée dans l’assistant Run Scripts.
      • Il est maintenant possible d’importer des scripts PowerShell signées. Notez qu’il n’est pas possible de copier/coller ce genre de script.
      • La fonctionnalité Run Scripts retourne maintenant le résultat du script dans un format JSON.

    • Silverlight n’est plus installé automatiquement sur les clients.
    • Lorsque vous utilisez le Remote Control sur un client avec plusieurs moniteurs avec différentes résolutions DPI, le curseur de la souris correspond maintenant correctement entre les moniteurs.
    • Les collections renommées sont maintenant correctement affichées dans la liste des règles d’appartenance des autres collections où elles pouvaient être utilisées et inclues.
    • La vue Device de la console d’administration affiche maintenant les utilisateurs principaux d’une machine.
    • La vue Device de la console d’administration permet maintenant l’ajout d’une colonne pour afficher le dernier utilisateur connecté.
    • La vue Device de la console d’administration affiche maintenant les utilisateurs principaux d’une machine.
    • La partie Software Center des paramétrages du client affiche maintenant un espace de prévisualisation du logo et/ou du nom de l’organisation.
    • Arrivée d’un tableau de bord Surface pour afficher le pourcentage de Surface, le pourcentage de modèles Surface et le TOP 5 des versions de firmware.

    Co-Management

    • Transition de la charge Endpoint Protection vers Microsoft Intune en utilisant le Co-Management.
    • Un tableau de bord sur le Co-Management permet de voir le pourcentage de périphérique configurés pour le Co-Management, la distribution des systèmes, l’état du Co-Management pour les machines concernées et le nombre de machines qui sont associées à une charge de travail qui a été transférée vers Microsoft Intune.

    Gestion du contenu

    • Vous pouvez utiliser les groupes de limites (Boundary Groups) pour réguler la distribution du contenu sur votre réseau lors de l’utilisation de la fonctionnalité de P2P Delivery Optimization pour partager le contenu entre clients Windows. On retrouve ainsi un nouveau paramétrage client qui ne s’applique qu’à Windows 10.

    • Affinité des Cloud Distribution Points par site. Cette fonctionnalité profite aux entreprises avec une hiérarchie multisites et dispersée géographiquement en utilisant des Cloud Distribution Points. Lorsqu'un client sur Internet recherche du contenu, auparavant, il n'y avait pas d'ordre dans la liste des Cloud Distribution Points reçus par le client. Ce comportement pourrait faire en sorte que les clients basés sur Internet reçoivent du contenu à partir de Cloud Distribution Points géographiquement éloignés. Le téléchargement de contenu à partir d'un tel serveur distant est généralement plus lent qu'un serveur plus proche. Avec cette fonctionnalité, un client basé sur Internet reçoit une liste ordonnée. Cette liste donne la priorité aux Cloud Distribution Points à partir du site assigné au client. Ce comportement permet à l'administrateur de préserver son design pour les téléchargements de contenu à partir des ressources du site.

    Software Center

    • Les périphériques joints à Azure Active Directory peuvent maintenant voir et installe des applications ciblées à l’utilisateur via le Software Center. Pour cela, vous devez déployer une Cloud Management Gateway, un Cloud Distribution Point, intégrer votre site à Azure AD et avoir un Management Point fonctionnant en HTTPS.
    • L’utilisateur peut maintenant sélectionner et installer plusieurs applications dans le Software Center. La multi-select se fait si l’application est visible à l’utilisateur, si elle n’est pas déjà installée, si une approbation n’est pas nécessaire, et si l’application est disponible en libre-service.
    • Le Software Center affiche des informations additionnelles sur l’état de conformité et notamment les règles de conformité du service Device Health Attestation.
    • Suite à un retour sur UserVoice, les applications installées peuvent être cachées de l’onglet Applications du Software Center via le paramétrage client Hide Installed Applications in Software Center.
    • Vous pouvez cacher les applications disponibles à l’utilisateur et nécessitant une approbation du Software Center.

     

    Inventaire

    • Amélioration de l’inventaire matériel pour que les nouvelles classes ajoutées puissent supporter des propriétés de type chaine de caractères avec une longueur de plus de 255 caractères. Ceci ne s’applique pas aux clés.
    • Ajout d’un nouveau rapport pour suivre l’état de maintenance Windows 10 des machines. Windows 10 Servicing details for a specific collection affiche l’identifiant de la resource, le nom NetBIOS, le nom du système d’exploitation, la Build, la Branch et l’état de maintenance.
    • Un rapport permet d’afficher le nombre de machines avec un navigateur spécifique par défaut.
    • Un rapport (Windows AutoPilot Device Information) permet d’afficher les informations Windows AutoPilot des périphériques Windows 10 1703 ou plus. Ceci permet de récupérer les informations pour les injecter directement dans le Microsoft Store for Business.

    Déploiement d’applications

    • Il est maintenant possible de déployer une application avec le compte System tout en laissant l’utilisateur interagir avec l’interface graphique. Ceci est très pratique pour toutes les installations qui ne permettent pas une exécution en mode silencieux ou lorsque des configurations spécifiques sont nécessaires. Vous devez pour cela activer l’option au niveau du type de déploiement: Allow users to interact with the program installation. Il est aussi possible d’utiliser ce mécanisme dans des séquences de tâches pour la création d’une image de référence après l’étape Setup Windows and Configuration Manager ou la mise à niveau du système d’exploitation dans le groupe Post-Processing. La séquence de tâches est alors mise en pause jusqu’à ce que l’utilisateur complète les informations.

    • L’approbation des demandes d’applications pour des utilisateurs se fait maintenant par périphérique et non plus pour l’ensemble des périphériques.
    • Suite à un retour dans UserVoice, il est possible de ne pas automatiquement mettre à jour les versions remplacées des applications. L’option est disponible lors de la création du déploiement sur la page Deployment Settings. Vous pouvez activer ou désactiver Automatically upgrade any superseded versions of this applications.

     

    Mises à jour logicielles

    • Grace aux retours sur UserVoice, il est maintenant possible de planifier des règles de déploiement automatique (ADR) décalée du jour de base. Par exemple, le but est de décaler l’évaluation deux jours après le deuxième mardi du mois.
    • Amélioration du tableau de bord Office 365 Client Management pour afficher la liste des périphériques lorsque vous sélectionnez des sections du graphe.
    • Avec le Hotfix 2 de Configuration Manager 1710, Microsoft a remis le comportement précédent lors de la mise à niveau du client Office 365 et qu’une application Office est ouverte. Ainsi, le redémarrage du poste est initié pour permettre la mise à jour du client sans impacter le travail de l’utilisateur.

     

    Déploiement de systèmes d’exploitation

    • Arrivée de la fonctionnalité Phased Deployment en préversion afin d’automatiser et coordonner le séquencement du déploiement d’un logiciel sans avoir à créer plusieurs déploiements. Ceci permet de choisir plusieurs collections et des seuils de validation (pourcentage de succès, nombre de clients installés) pour passer à la collection suivante. Les déploiements phasés ne supportent pas encore l’installation par PXE ou média.
    • L’assistant de déploiement pour les séquences de tâches permet de créer des modèles de déploiement.
    • La séquence de tâches d’In-Place Upgrade de Windows 10 est maintenant supportée pour les clients gérés sur Internet par la Cloud Management Gateway. Ceci permet de supporter la mise à niveau des clients distants sans à ce qu’ils aient besoin de se connecter à Internet. Vous devez pour cela cochez la case Allow task sequence to run for client on the Internet sur le déploiement dans la partie User Experience et Download all content locally before starting task sequence.
    • Amélioration à la séquence de tâches d’In-Place Upgrade de Windows 10 pour inclure des groupes additionnels avec les actions recommandées avant la mise à niveau comme la vérification de la batterie, de la connectivité, des applications incompatibles, des pilotes incompatibles, etc. ou les actions recommandées après la mise à niveau comme l’application des pilotes, la configuration des associations et applications par défaut, etc.
    • Dans Windows PE lorsque vous démarrez CMTrace, la fenêtre demandant de rendre le programme par défaut, n’est plus affichée.
    • La tâche Download Package Content permet d’ajouter des images de démarrage.
    • Amélioration de l’action Run Task Sequence pour imbriquer des séquences de tâches. Le scénario classique est l’utilisation d’une séquence de tâches pour appliquer les drivers ou installer des applications qui est elle-même appelée par plusieurs séquences de tâches parentes.
      • Support de tous les scénarios de déploiement de système d’exploitation (Software Center, PXE et media)
      • Amélioration des opérations dans la console pour permettre la copie, l’import, l’export et des avertissements lors de la suppression.
      • Support de l’assistant Create Prestage Content.
      • Intégration avec la vérification des déploiements.
      • La tâche Run Task Sequence peut être utilisée à travers plusieurs niveaux de séquence de tâches et pas simplement une relation parent-enfant. Cette capacité augmente la complexité de la séquence de tâches. Microsoft valide toujours qu’il n’y ait pas de boucles/références circulaires.

     

    Conformité des paramétrages

    • De nouveaux paramétrages de stratégie pour le navigateur Microsoft Edge sont disponibles :
      • Set Microsoft Edge browser as default
      • Allow address bar drop down
      • Allow sync favorites between Microsoft browsers
      • Allow clear browsing data on exit
      • Allow Do Not Track headers
      • Allow autofill
      • Allow cookies
      • Allow pop-up blocker
      • Allow search suggestions in address bar
      • Allow send intranet traffic to Internet Explorer
      • Allow password manager
      • Allow Developer Tools
      • Allow extensions

    • Amélioration des stratégies pour Windows Defender Exploit Guard à destination des postes Windows 1709 (ou plus) joints à Azure Active Directory avec de nouveaux paramétrages pour la réduction de la surface d’attaque et l’accès contrôlé aux dossiers :
      • Block disk sectors only
      • Audit disk sectors only
      • Use advanced protection against ransomware.
      • Block credential stealing from the Windows local security authority subsystem.
      • Block executable files from running unless they meet a prevalence, age, or trusted list criteria.
      • Block untrusted and unsigned processes that run from USB.

    • Les stratégies Windows Defender Application Guard proposent deux nouveaux paramétrages d’interaction de l’hôte :
      • Websites can be given access to the host’s virtual graphics processor.
      • Files downloaded inside the container can be persisted on the host.

     

     Plus d’informations sur cette version : What’s new in version 1802

    Pour obtenir les éléments relatifs au processus de mise à jour : https://docs.microsoft.com/en-us/sccm/core/servers/manage/updates

    • 30/3/2018

    [SCCM] La Technical Preview 1803 de System Center Configuration Manager est disponible

    Microsoft vient de mettre à disposition la Technical Preview 1803 (5.0.8636.1000) de System Center Configuration Manager. Pour rappel, ConfigMgr a subi une refonte de sa structure pour permettre des mises à jour aisées de la même façon que l’on peut le voir avec Windows 10. Si vous souhaitez installer cette Technical Preview, vous devez installer la Technical Preview 1711 puis utiliser la fonctionnalité Updates and Servicing (nom de code Easy Setup). 

    System Center Configuration Manager TP 1803 comprend les nouveautés suivantes :

    Administration

    • Les Pull Distribution Points supporte les Cloud Distribution Points comme source. Le Pull DP doit avoir un accès internet et doit pouvoir communiquer avec Microsoft Azure. Ce scénario peut être utile lorsque le lien WAN est plus rapide que le lien LAN qui relie le Pull DP aux points de distribution internes.
    • Support du téléchargement partiel par la fonctionnalité Client Peer Cache pour réduire l’utilisation WAN. Les sources Client Peer Cache peuvent maintenant diviser en différentes parties pour minimiser l’impact sur le WAN. C’est le Management Point qui fournit au client le détail permettant de suivre les différentes parties du contenu.
    • Le Software Center/Centre Logiciels affiche maintenant la prochaine fenêtre de maintenance planifiée. Cette information se trouve dans Installation Status où vous pouvez cliquer dans Upcoming. On retrouve la prochaine fenêtre de maintenance ainsi que les déploiements qui s’exécuteront dans cette plage.

    • Vous pouvez créer un onglet personnalisé dans le Software Center/Centre Logiciels pour ouvrir une page web. Ceci permet d’afficher du contenu à l’utilisateur final comme les informations de contact, de la documentation, etc. Le Software Center utilise les composants d’Internet Explorer pour afficher la page.

    • Lorsque vous utilisez le Remote Control sur un client avec plusieurs moniteurs avec différentes résolutions DPI, le curseur de la souris correspond maintenant correctement entre les moniteurs.
    • Vous pouvez maintenant effectuer des copier/coller depuis le panneau Asset details des vues Deployment et Distribution Status de l’espace Monitoring.
    • Cette version comprend une préversion des extensions SCAP. Pour rappel, Security Content Automation Protocol (SCAP) fournit une méthode de gestion des standards afin de mesurer la conformité, la vulnérabilité. SCAP est une suite de certaines normes ouvertes qui, ensemble, offrent une méthode uniforme d'analyser les systèmes informatiques et automatiquement identifier, mesurer et évaluer les problèmes potentiels de sécurité. SCAP est une initiative gouvernementale du NIST (National Institute of Standard and Technology) afin de construire le FDCC (Federal Desktop Core Configuration).

     

    Gestion des mises à jour logicielles

    • L’administrateur peut activer la configuration du client Configuration Manager pour permettre le déploiement de mises à jour tierces via System Center Updates Publisher. Ceci permet de configurer le paramétrage 'Allow signed updates for an intranet Microsoft update service location' et d’installer le certificat dans le magasin Trusted Publisher. Cette fonctionnalité se configure via les paramétrages du client dans Software Updates en mettant l’option Enable third party software updates à Yes.

     

    Plus d’informations sur : https://docs.microsoft.com/en-us/sccm/core/get-started/capabilities-in-technical-preview-1803

    • 23/3/2018

    [EMS] Nouvelle vidéo EndPoint Zone pour Mars 2018

    Brad Anderson (Corporate Vice President, Enterprise Client & Mobility) a publié une nouvelle vidéo pour parler du marcher EMM, du Managed Browser de Microsoft Intune et de son intégration avec Azure AD Application Proxy et le Co-Management de Windows 10.