• [SCM] Les baselines pour Windows 10 1809 disponibles en version finale

    Microsoft vient d’annoncer la version finale des baselines de paramétrages de sécurité pour Windows 10 1809 (Windows 10 October 2018 Update/RS5) et Windows Server 2019. On y retrouve les nouveaux paramétrages de cette nouvelle Build. Ces dernières s’utilisent avec Security Compliance Toolkit (SCT). Les lignes de base permettent de vérifier la conformité d’une application vis-à-vis des bonnes pratiques et recommandations Microsoft. Microsoft annonce l’arrivée des baselines sous forme de paramètres MDM prochainement.

    Microsoft a remplacé les fichiers batch (.cmd) permettant d’appliquer les baselines localement par un seul script PowerShell qui peut être appelé avec le paramètre adéquat : .\BaselineLocalInstall.ps1 [-Win10DomainJoined] [-Win10NonDomainJoined] [-WS2019Member] [-WS2019NonDomainJoined] [-WS2019DomainController]

    En outre, la documentation a été revue avec :

    • MS Security Baseline Windows 10 v1809 and Server 2019.xlsx : un fichier Excel regroupant tous les paramètres de stratégies de groupe publiés avec Windows 10 1809 et Server 2019.
    • Un ensemble de fichiers Policy Analyzer.
    • Un fichier Excel BaselineDiffs-to-v1809-RS5-FINAL.xlsx qui liste les différences avec les baselines précédentes.
    • Windows 10 1803 to 1809 New Settings.xlsx qui liste tous les paramétrages disponibles dans 1809 et ajoutés depuis la 1803.
    • Server 2016 to 2019 New Settings.xlsx qui liste tous les paramétrages disponibles dans Server 2019 et ajoutés depuis Server 2016.

    Voici les différences avec la baseline pour Windows 10 1703 :

    • Ajout de deux nouvelles règles de réduction de la surface d'attaque dans Windows Defender Exploit Guard : "Block Office communication applications from creating child processes" (qui inclut Outlook), et "Block Adobe Reader from creating child processes". Ces deux n’étaient pas présentes dans les baselines brouillon.
    • Depuis les baselines brouillon, le paramètre "Désactiver l'impression sur HTTP" dans "Computer Configuration\Administrative Templates\System\Internet Communication Management\Internet Communication settings" a été supprimé. Ce paramètre figurait dans les baselines depuis au moins aussi longtemps que Windows XP en raison de la croyance erronée qu'il faisait la distinction entre HTTP et HTTPS. L'activation de ce paramètre désactive également l'impression via HTTPS, ce qui casse des fonctionnalités légitimes et nécessaires sans aucun avantage en termes de sécurité.
    • Le paramètre MS Security Guide protégeant contre les applications potentiellement indésirables (PUA) a été déprécié, et est maintenant implémenté avec un nouveau paramètre sous Computer Configuration\...\Windows Defender Antivirus.
    • Activation du paramètre "Encryption Oracle Remediation" ce qui avait déjà été envisagé pour la v1803. À l'époque, Microsoft craignait que cela impacte trop de systèmes qui n'avaient pas encore été mis à jour.
    • Modifications de Virtualization-Based Security (utilisés par Credential Guard et Code Integrity) :
      • "Platform Security Level" est passé de "Secure Boot and DMA Protection" à "Secure Boot". Si le matériel du système ne prend pas en charge la protection DMA, la sélection de "Secure Boot and DMA Protection" empêche Credential Guard de fonctionner. Si vous pouvez affirmer que vos systèmes prennent en charge la fonction de protection DMA, choisissez l'option la plus forte. Microsoft a choisi "Secure Boot" (uniquement) dans la baseline pour réduire la probabilité que Credential Guard ne fonctionne pas.
      • Activation du nouveau paramètre System Guard Secure Launch qui activera Secure Launch sur un nouveau matériel compatible. Secure Launch change la façon dont Windows démarre pour utiliser les fonctions Intel Trusted Execution Technology (TXT) et Runtime BIOS Resilience pour empêcher les exploits du firmware d'avoir un impact sur la sécurité de l'environnement Windows Virtualization Based Security.
      • Désactivation de l'option "Require UEFI Memory Attributes Table".
      • Suppression de Credential Guard de la baseline du contrôleur de domaine, tout en conservant le reste des paramètres VBS. Ceci est implémenté dans une nouvelle GPO uniquement pour les DC nommé "MSFT Windows Server 2019 - Domain Controller Virtualization Based Security".
    • Activation de la nouvelle fonction de protection DMA du kernel. La stratégie « External device enumeration" détermine s'il faut énumérer les périphériques externes qui ne sont pas compatibles avec le mappage DMA. Les appareils compatibles avec la cartographie DMA sont toujours énumérés.
    • Suppression du paramètre BitLocker, "Allow Secure Boot for integrity validation", car il ne faisait que renforcer un défaut qui ne serait probablement pas modifié même par un administrateur mal avisé.
    • Suppression du paramètre BitLocker, "Configure minimum PIN length for startup", car les nouvelles fonctions matérielles réduisent le besoin d'un code PIN de démarrage.
    • Depuis la version préliminaire, Microsoft a supprimé "Prevent users from modifying settings" de "Computer Configuration\Administrative Templates\Windows Components\Windows Security\App and browser protection", car elle ne faisait que renforcer un défaut que les non-administrateurs ne pouvaient remplacer.
    • Activation du nouveau paramètre Microsoft Edge pour empêcher les utilisateurs de contourner les messages d'erreur de certificat, ce qui aligne Edge sur un paramètre similaire pour Internet Explorer.
    • Suppression du blocage de la gestion des demandes d'authentification PKU2U, car cette fonctionnalité est de plus en plus nécessaire.
    • Suppression de la configuration de l'attribution des droits d'utilisateur "Create symbolic links", car elle ne faisait qu'imposer une valeur déjà massivement utilisée, n'était pas susceptible d'être modifiée par un administrateur malavisé ou à des fins malveillantes, et doit être modifiée à une valeur différente lorsque Hyper-V est activé.
    • Suppression des restrictions de refus de connexion contre le groupe Invités (Guest) : par défaut, le compte Invité est le seul membre du groupe Invités, et le compte Invité est désactivé. Seul un administrateur peut activer le compte Invité ou ajouter des membres au groupe Invités.
    • Suppression de la désactivation du service xbgm ("Xbox Game Monitoring"), car il n'est pas présent dans Windows 10 v1809. (D'ailleurs, les services grand public tels que les services Xbox ont été supprimés de Windows Server 2019 avec Desktop Experience !)
    • Création et activation d'un nouveau paramètre MS Security Guide personnalisé pour la baseline du contrôleur de domaine, "Extended Protection for LDAP Authentication (Domain Controllers only)", qui configure la valeur de registre LdapEnforceChannelBinding.
    • Les baselines Server 2019 reprennent tous les changements accumulés dans les quatre versions de Windows 10 depuis Windows Server 2016.

    Plus d’informations sur l’article suivant : https://blogs.technet.microsoft.com/secguide/2018/11/20/security-baseline-final-for-windows-10-v1809-and-windows-server-2019/

    Télécharger Windows-10-1809-Security-Baseline-FINAL

  • [Intune] Intune ne supportera plus que mac OS X 10.12 minimum

    Par le biais d’un message (MC148271), Microsoft a communiqué qu’à partir de décembre 2019, Microsoft Intune ne supportera plus que l’enregistrement des périphériques macOS X 10.12 et plus. La version de mac OS X 10.11 (El Capitan) ne pourra plus être enregistrée mais continuera d’être gérées si elles ont déjà été enregistrée avant.

    La version 10.12 est supportée sur les périphériques suivants :

    • MacBook (Après 2009 ou plus).
    • iMac (Après 2009 ou plus)
    • MacBook Air (Après 2010 ou plus).
    • MacBook Pro (Après 2010 ou plus).
    • Mac Mini (Après 2010 ou plus).
    • Mac Pro (Après 2010 ou plus).

    Pour identifier ces versions, vous pouvez :

  • [AIP] Disponibilité Générale de la version 1.41.51.0 du client Azure Information Protection

    Microsoft vient de publier la version 1.41.51.0 du client Azure Information Protection. Parmi les changements sur le client, on retrouve :

    • Support du reporting centralisé pour la fonctionnalité Azure Information Protection analytics annoncée à l’Ignite.
    • Excel supporte désormais également les marquages visuels de différentes couleurs.
    • Pour les déploiements S/MIME existants, un nouveau paramètre client avancé (en Preview) permet de configurer un label afin d'appliquer automatiquement la protection S/MIME dans Outlook.
    • Un nouveau paramètre client avancé, comme alternatif à l'édition du registre pour empêcher les invites d’identification pour le service Azure Information Protection pour les ordinateurs déconnectés.
    • Le client Azure Information Protection n'exclut plus les extensions de noms de fichiers.msg,.rar et.zip pour les commandes File Explorer (clic droit) et PowerShell. Toutefois, ces extensions de nom de fichier restent exclues par défaut pour le scanner.
    • Le paramètre client avancé, RunPolicyInBackground, qui active la classification pour qu'elle s'exécute en permanence en arrière-plan, fonctionne comme documenté.
    • Le client Azure Information Protection peut déprotéger plusieurs fichiers (multi-sélection et un dossier qui contient des fichiers protégés) lorsque vous utilisez l'Explorateur de fichiers, faites un clic droit.
    • Pour Excel :
      • Des repères visuels sont maintenant appliqués si vous sauvegardez la feuille de calcul pendant l'édition d'une cellule.
      • Excel 2010 : Lorsqu'une feuille de calcul est protégée en utilisant le niveau d'autorisation Co-Author, le bouton Supprimer le label  est maintenant disponible lorsque vous cliquez avec le bouton droit de la souris sur le fichier et choisissez Classifier et protéger.
    • Le paramètre avancé du client ExternalContentMarkingToRemove, qui permet de supprimer les en-têtes et les pieds de page d'autres solutions d'étiquetage, prennent désormais en charge les modèles personnalisés.

    Parmi les changements sur le scanneur, on retrouve 

    • Lorsque la planification du scanner est réglée sur Always, il y a maintenant un délai de 30 secondes entre les scans.


    Télécharger Azure Information Protection Client

  • [Intune] Changement : Le connecteur Exchange Online vers Intune ne sera plus disponible

    Microsoft vient de communiquer un message (MC165575) concernant la dépréciation du connecteur Exchange Online vers Microsoft Intune. L'option de création d'un nouveau connecteur sera grisée à la fin décembre et les connecteurs existants seront obsolètes à la fin février. Les clients touchés par le changement ont été avisés dans le centre de messages.

    Ce changement est justifié pour simplifier votre expérience avec Exchange Online et l'accès conditionnel. Ce connecteur, de par son affichage dans la console, apparaît nécessaire pour l'accès conditionnel (AC), alors qu'en réalité, il n'est pas nécessaire pour l'accès conditionnel. Avec la mise à jour de décembre du service Intune, pour que cela soit clair dans la console, le bouton sera désactivé pour installer de nouveaux connecteurs. Ensuite, en février 2019, tous les connecteurs Exchange Online to Intune existants seront désactivés.

    Si vous utilisez ces connecteurs dans votre environnement, vous ne pourrez pas surveiller ou effacer les périphériques Exchange Active Sync uniquement dans Intune après que les connecteurs auront été désactivés en février. Il n'y a pas d'impact prévu pour vos utilisateurs finaux durant ce changement.

    En solution de repli, vous disposez des options suivantes :

    • Enregistrer les périphériques à la gestion des appareils mobiles (MDM)
    • Utiliser les stratégies de protection applicatives d'Intune pour gérer vos périphériques
    • Utiliser les contrôles Exchange.
  • [SCCM 1810] System Center Configuration Manager 1810 est disponible

    Microsoft vient de mettre à disposition la version finale (5.00.8740.1000) de System Center Configuration Manager 1810. ConfigMgr a subi une refonte de sa structure pour permettre des mises à jour aisées de la même façon que l’on peut le voir avec Windows 10. C’est pourquoi la fonctionnalité Updates and Servicing (nom de code Easy Setup) a été introduite. Vous devez donc utiliser cette dernière pour mettre votre site System Center Configuration Manager 1706. Si vous utilisez System Center 2012 Configuration Manager, vous devez mettre à jour votre site vers System Center Configuration Manager 1702 avant de pouvoir passer à cette version.

    Note : Un script PowerShell est disponible pour permettre d’opter pour la première vague de déploiement.

    System Center Configuration Manager 1810 comprend les nouveautés suivantes :

    Administration

    • Support de Windows Server 2019 et Windows Server 1809 comme systèmes de site (et non pas Serveur de site).
    • La fonctionnalité de haute disponibilité supporte maintenant les hiérarchies (CAS et sites primaires enfants) en mode passif.
    • Vous pouvez maintenant spécifier le niveau d’authentification minimum pour accéder à la console d’administration Configuration Manager. Ceci se configure dans Administration – Hierarchy Settings et l’onglet Authentication.
    • Amélioration de la vérification des prérequis par l’installeur pour traquer :
      • Les redémarrages en attente du système : Il vérifie les clés de registre supplémentaires pour les fonctionnalités Windows.
      • SQL change tracking cleanup: Une nouvelle vérification est exécuté pour vérifier si la base de données du site a un arriéré de données de suivi des changements SQL. Pour plus d'informations
      • Système de site sur un nœud de cluster Windows : Le processus d’installation de Configuration Manager ne bloque plus l'installation du rôle de serveur de site sur un ordinateur avec le rôle Windows pour le Failover Clustering. SQL Always On requiert ce rôle, donc auparavant vous ne pouviez pas co héberger la base de données du site sur le serveur du site.
    • Les actions de notification cliente requièrent maintenant la permission Notify Resource sur la classe SMS_Collection. Les rôles suivants l’ont par défaut : Full Administrator, Infrastructure Administrator. Vous devez ajouter la permission sur vos rôles personnalisés qui ont besoin d’exécuter des actions à distance.
    • Nouvelle action de notification client permettant de réveiller les périphériques.  Vous pouvez maintenant réveiller les clients à partir de la console Configuration Manager, même si le client n'est pas sur le même sous-réseau que le serveur du site. Le serveur du site utilise le canal de notification client pour identifier un autre client qui est éveillé sur le même sous-réseau distant. Le client réveillé envoie alors un packet Wake On LAN (magic packet).
    • Nouvelle règle Management Insights pour identifier les clients source de Peer Cache mais qui n'ont pas été mis à niveau depuis une version client antérieure à 1806. Les clients antérieurs à 1806 ne peuvent pas être utilisés comme source Peer Cache pour les clients qui exécutent la version 1806 ou ultérieure.
    • Le nœud Management Insights inclut maintenant des tableaux de bord graphiques offrant notamment les tuiles suivantes :
      • Management Insights index permet de suivre les progrès globaux réalisés en ce qui a trait aux règles de gestion éclairée. L'indice est une moyenne pondérée. Les règles critiques ont la plus grande priorité.  Cet indice donne le moins de poids aux règles facultatives. 
      • Management Insights groups :  Affiche le pourcentage de règles dans chaque groupe. 
      • Management Insights priority :  Affiche le pourcentage de règles par priorité. 
      • All insights :  Une table des insights incluant les priorités et l'état.
    • Amélioration de l’évaluation des collections. Auparavant, lorsque vous configuriez une planification sur une collection basée sur une requête, le site continuait d'évaluer la requête pour savoir si vous aviez activé ou non le paramètre de collection pour planifier une mise à jour complète sur cette collection. Pour désactiver complètement la planification, vous deviez changer la planification à Aucun/None. Le site efface maintenant la planification lorsque vous désactivez ce paramètre. Vous ne pouvez pas désactiver l'évaluation des collections par défaut comme All Systems, mais vous pouvez maintenant configurer le calendrier.
    • Lors de l'installation du client Configuration Manager, le processus ccmsetup contacte le Management Point pour localiser le contenu nécessaire. Auparavant, dans ce processus, le Management Point ne renvoie que les points de distribution du groupe de limites actuel du client. Si aucun contenu n'est disponible, le processus d'installation revient sur le Management Point pour télécharger le contenu. Il n'y a pas d'option pour revenir aux points de distribution dans d'autres groupes limites qui pourraient avoir le contenu nécessaire. Le Management Point renvoie maintenant les points de distribution en fonction de la configuration des groupes de limite.
    • Simplification du processus de configuration du client Configuration Manager pour les clients sur Internet. Le site publie des informations supplémentaires sur Azure Active Directory (Azure AD) à la Cloud Management Gateway (CMG). Un client joint à Azure AD obtient cette information de la CMG pendant le processus d'installation du ccmsetup, en utilisant le même tenant auquel il est lié. Ce comportement simplifie davantage l’enregistrement des périphériques au Co-Management dans un environnement avec plus d'un tenant Azure AD. Maintenant, les deux seules propriétés ccmsetup requises sont CCMHOSTNAME et SMSSiteCode.
    • L’outil Support Center est maintenant inclus dans le dossier cd.latest\SMSSETUP\Tools\SupportCenter. Pour rappel, cet outil permet le dépannage des clients, l’affichage des journaux en temps réel, etc.
    • Le SMS Provider fournit maintenant un accès en lecture seule à l'API d’interopérabilité sur WMI via HTTPS. Le SMS Provider apparaît sous la forme d'un rôle avec une option permettant d'autoriser la communication via la Cloud Management Gateway. L'utilisation actuelle de ce paramètre permet d’activer l'approbation des demandes par email à partir d'un périphérique distant.
    • Afin de préparer l’arrêt des communications entre SCCM et Intune, il n'est plus nécessaire de configurer un abonnement Microsoft Intune pour mettre en place le MDM On-premises. Bien entendu, l’entreprise a toujours besoin de licences Intune pour utiliser cette fonctionnalité.

    Co-Management

    • Vous pouvez définir des règles de conformité pour spécifier des applications requises. Cette évaluation de l'application fait partie de l'état de conformité global envoyé à Microsoft Intune pour les périphériques cogérés.
    • Amélioration du tableau de bord Co-Management
      • La tuile Co-Management enrollment status affiche des états supplémentaires.
      • Une nouvelle tuile Co-management status avec un diagramme en entonnoir montre les états du processus d’enregistrement.
      • Une nouvelle tuile avec le nombre d'erreurs d’enregistrement

    Inventaire et Reporting

    • Amélioration du tableau de bord de cycle de vie (Lifecycle dashboard) pour inclure des informations System Center 2012 Configuration Manager et plus. On retrouve aussi un nouveau rapport Lifecycle 05A – Product lifecycle dashboard qui inclut les mêmes informations.
    • Amélioration du Data Warehouse pour permettre la synchronisation de plus de table dans le Data Warehouse.
    • Amélioration de CMPivot pour :
      • Sauvegarder les requêtes favorites
      • Sur l’onglet Query Summary, vous pouvez sélectionner le compte des périphériques hors ligne ou en échec et ainsi choisir de créer une collection.

     

    Gestion du contenu

    • De nouvelles options de groupes de limite sont ajoutées :
      • Prefer distribution points over peers with the same subnet : Par défaut, le Management Point donne la priorité aux sources Peer Cache en haut de la liste des emplacements de contenu. Ce paramètre annule cette priorité pour les clients qui se trouvent dans le même sous-réseau que la source Peer Cache.
      • Prefer cloud distribution points over distribution points :  Si vous avez un site distant avec un lien Internet plus rapide, vous pouvez maintenant prioriser le contenu issu des Cloud DPs.

     

    Déploiement d’applications

    • Vous pouvez maintenant convertir des applications Windows Installer (.msi) au format MSIX.
    • Les types de déploiement Windows Installer et Script Installer permettent de spécifier une ligne de commande de réparation. Ceci permet à l’utilisateur de cliquer sur un bouton Repair dans le Software Center.
    • Vous pouvez configurer des notifications emails pour les demandes d’approbation d’applications. Ainsi, quand un utilisateur demande une application, vous recevez alors un email qui vous permet d’approuver ou refuser la demande sans accéder à la console.
    • L’utilisation d’un script PowerShell comme méthode de détection pour des applications ou des paramétrages de conformité, le script est lancé avec le paramètre -NoProfile. Ceci permet de lancer PowerShell sans profil. Ceci ne s’applique pas à la fonctionnalité d’exécution de scripts.

     

     

    Mises à jour logicielles

    • Vous pouvez maintenant utiliser les déploiements phasés (Phased Deployment) pour les mises à jour logicielles. Ceci permet d’orchestrer le déploiement de la mise à jour logicielles.
    • Un nouveau paramétrage du client dans Software Update permet de contrôler le comportement d’installation des mises à jour logicielles lors des fenêtres de maintenance : Enable installation of updates in "All deployments" maintenance window when "Software update" maintenance window is available. S’il est à No, vous gardez le même comportement sinon cela permet au client d’utiliser d’autres types de fenêtre de maintenance pour installer les mises à jour logicielles.

     

    Déploiement de systèmes d’exploitation

    • Nouveau modèle de séquence de tâches pour l’utilisation de Windows Autopilot pour les périphériques existants Windows 7. Ceci permet pour des machines Windows 10 Insider Preview d’utiliser le scénario drivé par l’utilisateur.
    • Il est maintenant possible de spécifier le disque utilisé par Configuration Manager pour réaliser l’ajout de mises à jour logicielles via la maintenance des images de système d’exploitation de manière hors ligne.
    • La récupération de contenu lors de l’exécution d’une séquence de tâches se fait en respectant le comportement des groupes de limites.
    • Amélioration de la maintenance des drivers pour permettre de spécifier des métadonnées additionnelles (Manufacturer et Model) sur les packages de drivers. Ceci permet de supprimer un ancien driver ou un driver dupliqué.
    • Nouvelle variable de séquence de tâches (_SMSTSLastActionName) pour connaître le nom de la dernière action. La valeur est ajoutée dans le fichier smsts.log

     

    Conformité des paramétrages

    • Vous pouvez maintenant voir le résultat détaillé du script exécuté dans un format brut ou dans un format JSON structuré.
    • Amélioration du dépannage avec de nouveaux logs pour l’exécution des scripts
    • Les clients mis à jour renvoient moins de 80 Ko à son site par le Fast Channel. Ce changement améliore les performances de visualisation de la sortie des requêtes et scripts.

     

     Plus d’informations sur cette version : What’s new in version 1810

    Pour obtenir les éléments relatifs au processus de mise à jour : https://docs.microsoft.com/en-us/sccm/core/servers/manage/updates

  • [Azure] Nouvel incident avec l’authentification à facteurs multiples (Azure MFA, Office 365 MFA, etc.)

    Une semaine après l’incident sur le service d’authentification à facteurs multiples d’Azure Active Directory (Azure MFA ou Office 365 MFA), voici un nouvel incident. La durée d’indisponibilité a été moins longue que pour le précédent mais certains clients ont pu être touché par ce problème.

    Joy Chik, Corporate Vice President, Azure Identity a communiqué une lettre publique expliquant le problème et les corrections en cours pour résoudre l’incident.  Joy Chik s’excuse pour ces deux problèmes et explique que toute la lumière sera faite et des changements auront lieu pour ne plus rencontrer ce genre de soucis.

    Voici le contenu de la lettre (traduite) :

    Mardi 27 novembre 2018, 10:00 Pacific / 18:00 UTC 

    De : Joy Chik, Vice-présidente corporative, Azure Identity 

    Sujet : Azure Multi-Factor Authentication, 27 novembre 2018, Tracking ID : X4N4-FWG

    Je dirige l’équipe d'ingénieurs Azure Identity qui construit, exploite et supporte les services Azure Identity. La fiabilité du service est un principe fondamental d'Azure et une responsabilité que nous prenons extrêmement au sérieux. C'est pourquoi j'aimerais partager avec nos clients de l'information sur cette panne récente et sur les mesures que nous prenons pour aller de l'avant.

    Un problème d'authentification à facteurs multiples d'Azure (MFA) a eu un impact sur les clients qui ont des tenants dans plusieurs régions, utilisant les services Azure, Office 365 et Dynamics 365. Suite à une enquête initiale, les ingénieurs ont déterminé qu'un Domain Name System (DNS) avait déclenché des échecs de demande de connexion. Nous avons plusieurs équipes d'ingénieur qui travaillent sur l'assainissement des plates-formes et qui sont responsables du traitement des demandes MFA. Nous avons accéléré le déploiement région par région et le service est maintenant largement restauré.

    Bien que certains clients voient une reprise, nous comprenons que certains d'entre eux ont encore des problèmes. Soyez assurés que nous travaillons pour nous assurer que chaque client est complètement rétabli et que nous concentrons toute notre attention sur l'atténuation de la panne MFA actuelle. Une fois que les mesures d'atténuation complètes seront confirmées, nous commencerons une analyse des causes profondes. Les résultats préliminaires de l'analyse des causes profondes seront publiés sur la page Azure Service Health, et sur les pages d'état des services impactés respectés, dans les 72 heures environ.  De tels événements ne sont jamais les bienvenus et nous comprenons les défis qu'ils représentent pour nos clients. Nous sommes tout à fait conscients que cela fait suite à un précédent incident MFA du 19 novembre 2018, pour lequel certains de nos clients ont également été touchés. Nous avons donné les raisons fondamentales complètes pour l’incident précédent, qui est publié sur la page d'état. Comprendre la cause profonde et toute interconnexion entre les deux événements sera au cœur de nos recherches.  Nous tirons des leçons de chaque incident de service et nous améliorerons la résilience de notre conception en fonction de cet incident. L'analyse des causes profondes s'étendra à la façon dont nous travaillerons pour prévenir des pannes de cette nature à l'avenir.

    Je m'excuse sincèrement auprès de nos clients pour les répercussions de cet incident. J'aimerais également vous assurer que nous travaillons avec diligence pour comprendre les enjeux et, ce faisant, que nous travaillons à rétablir votre confiance en Azure. 

     Cordialement, Joy Chik Vice-présidente corporative, Azure Identity

  • [OSD] Peut-on exécuter des applications WPF dans Windows PE (Support, Problèmes, etc.) ?

    Depuis quelques semaines, un sujet a fait émergence sur Twitter. Des entreprises qui exécutaient des applications WPF dans Windows PE, semblent rencontrer des problèmes avec la dernière version de l’ADK de Windows 10 1809. Les applications ne s’exécutent plus et ce malgré que vous ajoutiez les composants optionnels WinPE : Microsoft .NET/WinPE-NetFX

    Il semble qu’il manque deux fichiers (BCP47Langs.dll et BCP47mrm.dll) dans la WIM (WinPE.Wim) de l’ADK 1809. Ces deux fichiers sont néanmoins présents dans le fichier boot.wim des sources présentes dans l’ISO de Windows 10 1809.

    Vous pouvez donc :

    • Soit utiliser le fichier boot.wim de l’image ISO de Windows 10 1809
    • Soit récupérer les deux fichiers (BCP47Langs.dll et BCP47mrm.dll) en montant le fichier boot.wim de l’image ISO de Windows 10 1809 pour les injecter dans l’image WinPE.WIM de l’ADK 1809. Ceci permettra notamment d’assurer que ces fichiers sont toujours présents même lorsque vous générez de nouvelles images.

    Il est à noter que malgré le fait que l’exécution d’application WPF fonctionnait jusqu’alors, ce scénario n’était officiellement pas supporté par Microsoft.

  • [Autopilot] Quid du support des solutions d’identité tierces ?

    Un client m’a récemment posé la question concernant le support de solutions d’identité tierces telles qu’Okta ou Modiam par Windows Autopilot pour le provisionnement de machines Windows 10.

    Malheureusement à date (Novembre 2018), la seule solution d’identité supportée par Windows Autopilot est Azure Active Directory (Azure AD)

  • Premières versions des Drivers et Firmware pour la Surface Pro 6

    A peine mise à disposition, Microsoft vient de mettre à disposition les drivers et firmwares pour Windows 10 pour la Surface Pro 6.

    Télécharger Surface Pro 6 Drivers and Firmware

  • Premières versions des Drivers et Firmware pour la Surface Laptop 2

    A peine mise à disposition, Microsoft vient de mettre à disposition les drivers et firmwares pour Windows 10 pour la Surface Laptop 2.

    Télécharger Surface Laptop 2 Drivers and Firmware

  • [Windows Server] Comment migrer des rôles Windows Server ?

    Microsoft a publié une page de documentation résumant plutôt bien comment migrer les différents rôles vers Windows Server 2016 ou Windows Server 2012 R2.

    Vous retrouvez des informations sur :

    • Active Directory Certificate Services
    • Active Directory Federation Services
    • Active Directory Rights Management Services
    • Les services de stockage et de fichiers (File and storage services)
    • Hyper-V
    • Network Policy Server
    • Remote Desktop Services
    • Windows Server Update Services
    • Les rôles Cluster
    • DHCP Server
    • MultiPoint Services
    • Web Server (IIS)

    Lire : Migrating Roles and Features in Windows Server

  • [Windows 10] L’installation de mise à niveau (Features Upgrades) avec WSUS renvoie Unable to find resource

    Aujourd’hui, un de mes clients souhaitaient mettre à niveau ces machines Windows 10 d’une version à l’autre via le service WSUS (sans utiliser System Center Configuration Manager). Le serveur WSUS est hébergé sur Windows Server 2016 et répond donc aux prérequis. Les mises à jour supplémentaires ne sont nécessaires que pour Windows Server 2012 ou 2012 R2.

    Après approbation de la mise à niveau, on peut observer les clients tenter de télécharger la mise à niveau et rester à 0%.

    Côté serveur, on peut voir les événements suivants :

    (Unable to find resource):ReportingEvent.Client.167; Parameters: Feature update to Windows 10 (business editions), version 1709, fr-fr

    Ce problème provient de la configuration des Mime Types sur le serveur IIS.
    Pour le résoudre, vous pouvez suivre la procédure suivante :

    1. Ouvrez IIS Manager/Gestionnaire IIS
    2. Naviguez sur le site WSUS Administration
    3. Sélectionnez Mime Types
    4. Dans la liste, identifiez l’extension de fichier .esd.
    5. Si elle n’existe pas, ajoutez là :
      1. Extension de nom de fichiers : .esd
      2. Type MIME : application/octet-stream
    6. Si l’entrée existe, modifiez le type de application/vnd.ms-cab-compressed à application/octet-stream

  • Des ressources sur Windows Virtual Desktop

    Microsoft a publié une liste de ressources concernant Windows Virtual Destkop que vous pouviez déjà voir en rediffusion à l’occasion de l’événement Microsoft Ignite.  Pour rappel, Windows Virtual Destkop est un service de VDI/Bureau à distance hébergé dans Microsoft Azure. Il permet d’héberger des machines virtuelles Windows 10 Enterprise ou Windows 7 SP1 Enterprise (avec support étendu) afin notamment d’exécuter des applications soit pour des problèmes de compatibilité soit pour donner accès à des ressources à distance. Les entreprises qui ont acheté Windows 10 Enterprise peuvent toutes bénéficier de ce service sans surcout de licences. Le seul coût est au niveau du calcul, du stockage et de la bande passante généré par ces machines virtuelles.

    En attendant de pouvoir tester, voici la liste des sessions :

  • Comment Microsoft utilise Microsoft 365 pour sécuriser l’environnement de travail moderne ?

    Microsoft IT (CSEO) vient de publier un Showcase sur l’utilisation de Microsoft 365 et les différents services de Windows 10, Office 365 et Enterprise Mobility + Security (EMS) pour couvrir les enjeux de sécurité suivants :

    • Protection de l’identité
    • Protection de l’information
    • Protection contre les menaces
    • Gestion de la sécurité

    Le but est :

    • D’éliminer les mots de passe et améliorer la productivité avec Windows Hello
    • Etendre les options d’authentification à facteurs multiples avec Microsoft Authenticator
    • Mettre en œuvre l’accès conditionnel avec Azure AD et Microsoft Intune
    • Détecter et superviser les données sensibles avec Office 365 Data Loss Prevention
    • Simplifier et automatiser la classification de données Azure Information Protection
    • Automatiser la protection contre les menaces avec Windows Defender Advanced Threat Protection
    • Protéger les emails des attaques d’hameçonnage (Phishing) avec Office 365 Advanced Threat Protection
    • Gagner en synergie avec Office 365 ATP et Windows Defender ATP
    • Donner un seul tableau de bord permettant la gestion de la sécurité
    • Ingérer du contexte organisationnel dans l’évaluation des risques de sécurité

    Lire Microsoft 365 helps create a secure modern workplace

  • Publication de la version de Novembre 2018 d’Azure Data Studio (SQL Operations Studio)

    Microsoft publie une nouvelle version (Novembre 2018) d’Azure Data Studio, précédemment connu sous le nom SQL Operations Studio. Azure Data Studio offre une expérience d'éditeur moderne avec IntelliSense, des extraits de code, l'intégration du contrôle des sources et un terminal intégré.

    Les utilisateurs passent de plus en plus de temps à travailler sur l'édition des requêtes que sur toute autre tâche avec SQL Server Management Studio. Pour cette raison, Azure Data Studio a été conçu pour se concentrer en profondeur sur les fonctionnalités les plus utilisées, avec des expériences supplémentaires disponibles comme des extensions optionnelles. Cela permet à chaque utilisateur de personnaliser son environnement comme il utilise le plus souvent.

    Cette version intègre les changements suivants :

    • Mise à jour de l’extension SQL Server 2019 Preview
    • Introduction de l’extension Paste the plan
    • Introduction de l’extension High Color Queries
    • Amélioration de la journalisation
    • Correction de bugs

    Quand utiliser Azure Data Studio ?

    • Vous devez utiliser macOS ou Linux
    • Vous devez vous connecter sur un cluster big data SQL Server 2019
    • Vous passez plus de temps à éditer ou exécuter des requêtes
    • Vous voulez de visualiser rapidement des graphiques et de visualiser des ensembles de résultats
    • Vous avez un besoin minimal d’assistants
    • Vous n'avez pas besoin de faire de configuration administrative profonde

    Quand utiliser SQL Server Management Studio ?

    • Vous passez la plupart de votre temps à des tâches d'administration de bases de données.
    • Vous avez besoin de faire une configuration administrative importante
    • Vous effectuez la gestion de la sécurité, y compris la gestion des utilisateurs, l'évaluation des vulnérabilités et la configuration des éléments de sécurité.
    • Vous utilisez les rapports pour SQL Server Query Store
    • Vous devez faire des optimisations de la performance et utiliser des tableaux de bord
    • Vous avez besoin d'accéder aux serveurs enregistrés et de contrôler les services SQL Server sous Windows

    Plus d’informations: https://cloudblogs.microsoft.com/sqlserver/2018/11/06/the-november-release-of-azure-data-studio-is-now-available/  

    Pour rappel, ces outils sont disponibles depuis Windows, macOS, et Linux pour permettre de gérer SQL Server, Azure SQL Managed Instance, Azure SQL Database, Azure SQL Data Warehouse, et SQL Server 2019 Big Data Clusters.

    Télécharger Azure Data Studio

  • Nouvelle Version (1.0.1) du client Web Remote Desktop

    Microsoft vient de publier une nouvelle Preview (1.0.1) du client web Remote Desktop Cette version apporte :

    • Ajout d'une option pour capturer les informations d'assistance sur la page About pour diagnostiquer les problèmes.
    • Le mode InPrivate est maintenant supporté.
    • Support amélioré pour les claviers non-anglais.
    • Correction d'un problème où les infobulles contenant des caractères non anglais s'affichaient incorrectement.
    • Correction d'un problème de rendu graphique qui affectait les utilisateurs de Chrome.
    • Mise à jour de la redirection des fuseaux horaires avec support complet des DST.
    • Amélioration du message d'erreur pour les erreurs out of memory.
    • Diverses corrections de bogues

    Pour installer et mettre à jour le client web Remote Desktop

  • Nouvelle version (10.2.3) du Client Remote Desktop pour macOS

    Microsoft vient de publier une nouvelle application (10.2.3) du client Remote Desktop pour macOS. Cette version apporte :

    • Ajout de la prise en charge du paramètre de fichier RDP "remoteapplicationcmdline" pour les scénarios d'applications distantes.
    • Le titre de la fenêtre de session inclut maintenant le nom du fichier RDP (et le nom du serveur) lorsqu'il est lancé depuis un fichier RDP.
    • Correction des problèmes de performance signalés de la RD Gateway.
    • Correction des plantages signalés de la RD Gateway.
    • Correction d'un problème de blocage de la connexion lors de la connexion via une RD Gateway.
    • Meilleure gestion des applications distantes plein écran en masquant intelligemment la barre de menu et le dock.
    • Correction de scénarios où les applications distantes restaient cachées après leur lancement.
    • Correction de la mise à jour du rendu lente lors de l'utilisation de "Fit to Window" avec l'accélération matérielle désactivée.
    • Gestion des erreurs de création de base de données causées par des permissions incorrectes au démarrage du client.
    • Correction d'un problème où le client plantait constamment au lancement et ne démarrait pas pour certains utilisateurs.
    • Correction d'un scénario où les connexions étaient incorrectement importées en plein écran depuis Remote Desktop 8.

    Tester le client Remote Desktop pour Mac

  • Nouvelle Preview (10.0.1088) de l’application Universelle Remote Desktop pour Windows 10

    Microsoft vient de publier une nouvelle Preview (10.0.1088) du client Remote Desktop en version universelle pour Windows 10. Cette version apporte :

    • Le nom d'affichage de la connexion est maintenant plus facile à connaître.
    • Correction d'un plantage lors de la fermeture de la fenêtre du client alors qu'une connexion est encore active.
    • Correction d'un blocage lors de la reconnexion après que le client ait été minimisé.
    • Permet de faire glisser les bureaux n'importe où dans un groupe.
    • Le lancement d'une connexion à partir de la liste des jumplists donne lieu à une fenêtre séparée si nécessaire.
    • Corrections de bogues supplémentaires.

    Tester Microsoft Remote Desktop Preview

  • [Windows Server 2019] Le collecteur de log pour Storage Migration Service est disponible

    Microsoft a publié un script de collection de log à destination de Storage Migration Service. Ce dernier peut être utile pour dépanner ou si vous devez ouvrir un ticket au support Microsoft. Pour rappel, la fonctionnalité Storage Migration Service est une nouveauté de Windows Server 2019 permettant de migrer des serveurs et des données sans avoir à reconfigurer les applications ou les utilisateurs. Ceci permet de migrer des données non structurées dans Microsoft Azure ou Windows Server.

    Pour l’utiliser, exécutez les commandes PowerShell suivantes en tant qu’administration

    • Import-Module .\StorageMigrationServiceHelper.psm1
    • Get-SmsLogs -Path c:\Logs

    Pour obtenir le script, rendez-vous sur GitHub.

  • Impossibilité d’activer Windows 1809 ou Windows Server 2019 avec un serveur KMS antérieur

    Vous n’arrivez pas à installer une clé ou activer des machines équipées de Windows Server 2019 ou Windows 10 1809/LTSC 2019 avec un hôte KMS (Key Management Service) Windows 8.1, Windows Server 2012 R2/2016, ou Windows 10 1607, 1709, 1803 ?

    La mise à jour (KB4347075) permettait d’étendre le support KMS pour Windows 10 LTSC 2019, Windows Server 2019 ou Windows 10 1809. Cette mise à jour permettant d’installer des clés de licence en volume.
    Microsoft a signalé un problème persistant depuis cette mise à jour ne permettant pas de chargé une clé CSVLK. Ce dernier n’a pour l’instant pas été corrigée par les correctifs cumulatifs.

  • [SCCM CB] Comment le client se met à jour/s'installe lorsque la machine est sur une connexion partagée 3G/4G ?

    Depuis Windows 8, Microsoft a implémenté la détection des connexions Internet limitées ou taxées. Ainsi si le téléphone ou le modem 3G/4G implémente correctement les normes, l’utilisation de ce réseau sera détectée par Windows comme étant une connexion Internet limitée ou taxée. Sinon, l’utilisateur peut définir lui-même une connexion comme étant limitée :

    On retrouve un paramétrage Windows qui définit le comportement des fonctionnalités qui peuvent générer du trafic. System Center Configuration Manager permet aussi la configuration d’une stratégie cliente qui vient définir une stratégie relative à SCCM.

    Dans le cas de la mise à niveau du client SCCM, CCMsetup utilise l’option la plus restrictive entre celle définie sur Windows et par SCCM.
    Si la stratégie cliente SCCM est définie sur Limit ou Block, alors le client ne se mettra à jour que lorsqu’il est connecté à une connexion non limitée. On peut notamment voir dans le fichier ccmsetup.log, ce que Windows a renvoyé vis-à-vis de la connexion (Unrestricted cost ou Variable cost ou Fixed cost) sur laquelle il est connectée.

    Si la stratégie SCCM est définie sur Allow, CCMsetup téléchargera à moins que Windows signale que le périphérique est en itinérance.

    Notez que ce comportement divers pour l’installation initiale du client SCCM puisqu’aucune stratégie SCCM n’est déployée. L’installation honore ce que l’utilisateur a défini dans le panneau de configuration. Si la machine n’est connectée qu’à des connexions limitées, alors le client SCCM ne s’installera pas. Ceci permet d’éviter une éventuelle surprise sur la facture puisque dans ce cas le client peut télécharger des prérequis qui font plusieurs Megabytes.

    La première installation du client ne prend donc pas en compte les paramétrages des agents du client par défaut ni même une option qui permet l’utilisation d’une connexion limitée excepté lors de l’itinérance.

  • Débloquer des mises à jour Windows (en échec, en téléchargement ou en installation)

    Matt Novitsch (SCCM Premier Field Engineer) et Craig McCarty (Platforms Premier Field Engineer) ont publié un billet sur le blog des PFE pour parler des mises à jour Windows. Vous avez surement déjà fait face à des mises à jour Windows 10 qui restaient bloquée en téléchargement, en installation ou tombait constamment en échec.

    Généralement vous avez pu le constater sur les forums, les mêmes conseils sont systématiquement donner :

    1. Arrêt des services BITS et Windows Update
    2. Renommage du dossier SoftwareDistribution avec par exemple .BAK
    3. Démarrage des services BITS et Windows Update

    Les PFE donne donc un script PowerShell qui permet de réaliser ces opérations. Ce dernier peut d’ailleurs être exécuté à distance depuis System Center Configuration Manager.

    Plus d’informations sur : Unsticking Windows Updates That Are Stuck In Their Tracks

  • [Windows 10 1809] Chiffrer via BitLocker en XTS-256 pour des machines provisionnées par Windows Autopilot

    Les projets de gestion moderne commencent à devenir de plus en plus fréquents. Microsoft Intune permet le chiffrement via la fonctionnalité BitLocker de Windows 10. Par défaut, les machines sont chiffrées avec l’algorithme XTS-128.

    Une des nouveautés de la version Windows 10 1809 est de pouvoir choisir le niveau de chiffrement via des stratégies et ce avant le démarrage du chiffrement lors de la phase Out Of Box Experience (OOBE) via Windows Autopilot uniquement. Ce dernier n’est donc pas pris en charge lors de l’enregistrement en mode OOBE par l’utilisateur lorsqu’il joint lui-même sa machine à Azure Active Directory.

    Bien entendu, la stratégie doit être appliquée avant le démarrage du chiffrement. Ceci est le cas lors de l’utilisation de Windows Autopilot pour provisionner des machines.

    Pour résumer, vous devez :

    • Utiliser Windows Autopilot
    • Créer la stratégie de chiffrement avec le niveau de l’algorithme
    • Cibler la stratégie sur un groupe de machines (et non pas sur un groupe d’utilisateurs)
    • Activer la page d’état d’enregistrement (Enrollment Status Page) afin que la stratégie définissant le niveau de chiffrement s’applique avant le démarrage du chiffrement.

     

    Une autre bonne nouvelle permet de lancer un chiffrement pour un utilisateur Azure Active Directory standard (non-administrateur) sans nécessiter un matériel moderne qui prend en charge HSTI (Hardware Security Test Interface). Avant Windows 10 1809, vous deviez utiliser des matériels haut de gamme type Surface ; ce qui n’est plus le cas aujourd’hui.

    Enfin pour rappel, la configuration de Bitlocker via le Configuration Service Provider (CSP) utilisé par Microsoft Intune ne requiert plus l’édition Enterprise. Ce dernier est disponible dès l’édition Pro.

  • [SCOM 2012/2016] Mise à jour (10.0.3.0) du management Pack pour Active Directory Federation Services (AD FS) pour 2016

    Microsoft vient de publier une nouvelle version (10.0.3.0) le pack d’administration ou Management Pack (MP) SCOM pour Active Directory Federation Services. Cette version ne fonctionne qu’avec System Center 2012 Operations Manager et plus. Pour rappel, System Center Operations Manager (SCOM) fait partie de la gamme System Center, il propose une supervision souple et évolutive de l’exploitation au niveau de toute l’entreprise, réduisant la complexité liée à l’administration d’un environnement informatique, et diminuant ainsi le coût d’exploitation. Ce logiciel permet une gestion complète des événements, des contrôles proactifs et des alertes, et assure une gestion des services de bout en bout. Il établit des analyses de tendance et des rapports, et contient une base de connaissances sur les applications et le système.

    Cette version corrige un bug dans le moniteur SQL Configuration Database Unavailable pour qu'il fonctionne avec des ports SQL pas par défaut.

    Il supervise les éléments suivants :

    • Des événements qui indiquent un problème de service
    • Des alertes qui indiquent les problèmes de configuration ou les tâches en échecs
    • Si l’audit a lieu avec succès
    • Les communications entre le Federation Server et le Federation Server Proxy
    • Les notifications des demandes d’accès malformées
    • La disponibilité du site Web
    • L’état de santé du certificat SSL du site web de fédération dans IIS

    Lisez le guide associé au Management Pack pour mettre en œuvre la supervision et activer les règles nécessaires.

    Télécharger System Center Management Pack for Active Directory Federation Services

  • [Intune] Problème connu avec le paramétrage Network Access Control d’iOS 12

    Microsoft a publié un message (MC152361) dans le centre de messages Office 365 concernant un problème connu qui touche Microsoft Intune et les paramétrages Network Access Control pour iOS. Avec la mise à jour d’Octobre, un paramétrage “Enable network access control (NAC)” sera présent dans la console.

    Néanmoins, le NAC ID n’est pas encore supporté par Cisco, F5, Citrix. De ce fait, la fonctionnalité ne fonctionne pas encore. En raison de la fonctionnalité de sécurité, tous les périphériques qui sont ciblés par un profil VPN avec le réglage NAC activé seront déconnectés du VPN toutes les 24 heures.

    Ceci n'affecte pas la capacité d'un périphérique à se connecter au VPN. Les utilisateurs des périphériques impactés peuvent immédiatement se reconnecter manuellement au VPN, ou le VPN sera reconnecté si vous utilisez un mécanisme tel que les règles à la demande pour se reconnecter automatiquement au VPN.

    Vous pouvez suivre la documentation pour voir quand les fabricants supporteront cette fonctionnalité.

    Plus d’informations sur : https://aka.ms/iOS12_and_vpn