Jean-Sébastien DUCHENE Blog's

Actualité, Tips, Articles sur l'ensemble des Technologies Microsoft (SCCM/SMS, EMS, Microsoft Intune, Microsoft Azure, Windows 10, SCOM, MDOP...)
    • 16/11/2018

    [Windows Server 2019] Le collecteur de log pour Storage Migration Service est disponible

    Microsoft a publié un script de collection de log à destination de Storage Migration Service. Ce dernier peut être utile pour dépanner ou si vous devez ouvrir un ticket au support Microsoft. Pour rappel, la fonctionnalité Storage Migration Service est une nouveauté de Windows Server 2019 permettant de migrer des serveurs et des données sans avoir à reconfigurer les applications ou les utilisateurs. Ceci permet de migrer des données non structurées dans Microsoft Azure ou Windows Server.

    Pour l’utiliser, exécutez les commandes PowerShell suivantes en tant qu’administration

    • Import-Module .\StorageMigrationServiceHelper.psm1
    • Get-SmsLogs -Path c:\Logs

    Pour obtenir le script, rendez-vous sur GitHub.

    • 16/11/2018

    Impossibilité d’activer Windows 1809 ou Windows Server 2019 avec un serveur KMS antérieur

    Vous n’arrivez pas à installer une clé ou activer des machines équipées de Windows Server 2019 ou Windows 10 1809/LTSC 2019 avec un hôte KMS (Key Management Service) Windows 8.1, Windows Server 2012 R2/2016, ou Windows 10 1607, 1709, 1803 ?

    La mise à jour (KB4347075) permettait d’étendre le support KMS pour Windows 10 LTSC 2019, Windows Server 2019 ou Windows 10 1809. Cette mise à jour permettant d’installer des clés de licence en volume.
    Microsoft a signalé un problème persistant depuis cette mise à jour ne permettant pas de chargé une clé CSVLK. Ce dernier n’a pour l’instant pas été corrigée par les correctifs cumulatifs.

    • 15/11/2018

    [SCCM CB] Comment le client se met à jour/s'installe lorsque la machine est sur une connexion partagée 3G/4G ?

    Depuis Windows 8, Microsoft a implémenté la détection des connexions Internet limitées ou taxées. Ainsi si le téléphone ou le modem 3G/4G implémente correctement les normes, l’utilisation de ce réseau sera détectée par Windows comme étant une connexion Internet limitée ou taxée. Sinon, l’utilisateur peut définir lui-même une connexion comme étant limitée :

    On retrouve un paramétrage Windows qui définit le comportement des fonctionnalités qui peuvent générer du trafic. System Center Configuration Manager permet aussi la configuration d’une stratégie cliente qui vient définir une stratégie relative à SCCM.

    Dans le cas de la mise à niveau du client SCCM, CCMsetup utilise l’option la plus restrictive entre celle définie sur Windows et par SCCM.
    Si la stratégie cliente SCCM est définie sur Limit ou Block, alors le client ne se mettra à jour que lorsqu’il est connecté à une connexion non limitée. On peut notamment voir dans le fichier ccmsetup.log, ce que Windows a renvoyé vis-à-vis de la connexion (Unrestricted cost ou Variable cost ou Fixed cost) sur laquelle il est connectée.

    Si la stratégie SCCM est définie sur Allow, CCMsetup téléchargera à moins que Windows signale que le périphérique est en itinérance.

    Notez que ce comportement divers pour l’installation initiale du client SCCM puisqu’aucune stratégie SCCM n’est déployée. L’installation honore ce que l’utilisateur a défini dans le panneau de configuration. Si la machine n’est connectée qu’à des connexions limitées, alors le client SCCM ne s’installera pas. Ceci permet d’éviter une éventuelle surprise sur la facture puisque dans ce cas le client peut télécharger des prérequis qui font plusieurs Megabytes.

    La première installation du client ne prend donc pas en compte les paramétrages des agents du client par défaut ni même une option qui permet l’utilisation d’une connexion limitée excepté lors de l’itinérance.

    • 15/11/2018

    Débloquer des mises à jour Windows (en échec, en téléchargement ou en installation)

    Matt Novitsch (SCCM Premier Field Engineer) et Craig McCarty (Platforms Premier Field Engineer) ont publié un billet sur le blog des PFE pour parler des mises à jour Windows. Vous avez surement déjà fait face à des mises à jour Windows 10 qui restaient bloquée en téléchargement, en installation ou tombait constamment en échec.

    Généralement vous avez pu le constater sur les forums, les mêmes conseils sont systématiquement donner :

    1. Arrêt des services BITS et Windows Update
    2. Renommage du dossier SoftwareDistribution avec par exemple .BAK
    3. Démarrage des services BITS et Windows Update

    Les PFE donne donc un script PowerShell qui permet de réaliser ces opérations. Ce dernier peut d’ailleurs être exécuté à distance depuis System Center Configuration Manager.

    Plus d’informations sur : Unsticking Windows Updates That Are Stuck In Their Tracks

    • 14/11/2018

    [Windows 10 1809] Chiffrer via BitLocker en XTS-256 pour des machines provisionnées par Windows Autopilot

    Les projets de gestion moderne commencent à devenir de plus en plus fréquents. Microsoft Intune permet le chiffrement via la fonctionnalité BitLocker de Windows 10. Par défaut, les machines sont chiffrées avec l’algorithme XTS-128.

    Une des nouveautés de la version Windows 10 1809 est de pouvoir choisir le niveau de chiffrement via des stratégies et ce avant le démarrage du chiffrement lors de la phase Out Of Box Experience (OOBE) via Windows Autopilot uniquement. Ce dernier n’est donc pas pris en charge lors de l’enregistrement en mode OOBE par l’utilisateur lorsqu’il joint lui-même sa machine à Azure Active Directory.

    Bien entendu, la stratégie doit être appliquée avant le démarrage du chiffrement. Ceci est le cas lors de l’utilisation de Windows Autopilot pour provisionner des machines.

    Pour résumer, vous devez :

    • Utiliser Windows Autopilot
    • Créer la stratégie de chiffrement avec le niveau de l’algorithme
    • Cibler la stratégie sur un groupe de machines (et non pas sur un groupe d’utilisateurs)
    • Activer la page d’état d’enregistrement (Enrollment Status Page) afin que la stratégie définissant le niveau de chiffrement s’applique avant le démarrage du chiffrement.

     

    Une autre bonne nouvelle permet de lancer un chiffrement pour un utilisateur Azure Active Directory standard (non-administrateur) sans nécessiter un matériel moderne qui prend en charge HSTI (Hardware Security Test Interface). Avant Windows 10 1809, vous deviez utiliser des matériels haut de gamme type Surface ; ce qui n’est plus le cas aujourd’hui.

    Enfin pour rappel, la configuration de Bitlocker via le Configuration Service Provider (CSP) utilisé par Microsoft Intune ne requiert plus l’édition Enterprise. Ce dernier est disponible dès l’édition Pro.

    • 14/11/2018

    [SCOM 2012/2016] Mise à jour (10.0.3.0) du management Pack pour Active Directory Federation Services (AD FS) pour 2016

    Microsoft vient de publier une nouvelle version (10.0.3.0) le pack d’administration ou Management Pack (MP) SCOM pour Active Directory Federation Services. Cette version ne fonctionne qu’avec System Center 2012 Operations Manager et plus. Pour rappel, System Center Operations Manager (SCOM) fait partie de la gamme System Center, il propose une supervision souple et évolutive de l’exploitation au niveau de toute l’entreprise, réduisant la complexité liée à l’administration d’un environnement informatique, et diminuant ainsi le coût d’exploitation. Ce logiciel permet une gestion complète des événements, des contrôles proactifs et des alertes, et assure une gestion des services de bout en bout. Il établit des analyses de tendance et des rapports, et contient une base de connaissances sur les applications et le système.

    Cette version corrige un bug dans le moniteur SQL Configuration Database Unavailable pour qu'il fonctionne avec des ports SQL pas par défaut.

    Il supervise les éléments suivants :

    • Des événements qui indiquent un problème de service
    • Des alertes qui indiquent les problèmes de configuration ou les tâches en échecs
    • Si l’audit a lieu avec succès
    • Les communications entre le Federation Server et le Federation Server Proxy
    • Les notifications des demandes d’accès malformées
    • La disponibilité du site Web
    • L’état de santé du certificat SSL du site web de fédération dans IIS

    Lisez le guide associé au Management Pack pour mettre en œuvre la supervision et activer les règles nécessaires.

    Télécharger System Center Management Pack for Active Directory Federation Services

    • 13/11/2018

    [Intune] Problème connu avec le paramétrage Network Access Control d’iOS 12

    Microsoft a publié un message (MC152361) dans le centre de messages Office 365 concernant un problème connu qui touche Microsoft Intune et les paramétrages Network Access Control pour iOS. Avec la mise à jour d’Octobre, un paramétrage “Enable network access control (NAC)” sera présent dans la console.

    Néanmoins, le NAC ID n’est pas encore supporté par Cisco, F5, Citrix. De ce fait, la fonctionnalité ne fonctionne pas encore. En raison de la fonctionnalité de sécurité, tous les périphériques qui sont ciblés par un profil VPN avec le réglage NAC activé seront déconnectés du VPN toutes les 24 heures.

    Ceci n'affecte pas la capacité d'un périphérique à se connecter au VPN. Les utilisateurs des périphériques impactés peuvent immédiatement se reconnecter manuellement au VPN, ou le VPN sera reconnecté si vous utilisez un mécanisme tel que les règles à la demande pour se reconnecter automatiquement au VPN.

    Vous pouvez suivre la documentation pour voir quand les fabricants supporteront cette fonctionnalité.

    Plus d’informations sur : https://aka.ms/iOS12_and_vpn

    • 13/11/2018

    [Intune] Dépanner et valider la configuration d’un serveur NDES

    La configuration d’un serveur NDES peut parfois nécessiter beaucoup de patience afin qu’il puisse être utilisé dans le processus de déploiement de certificats par Microsoft Intune.

    Pour ce faire, je vous partage deux URLs :

    • La première comprend des scripts qui permettent de :
      • Valider la configuration du serveur NDES
      • Valider l’URL NDES
    • La seconde est une page du support qui vous assiste dans
      • La création et la configuration du compte de service NDES
      • La configuration du modèle de certificat NDES sur l’autorité de certification
      • La délivrance du modèle NDES
      • La configuration du rôle NDES Server
      • La configuration IIS sur le serveur NDES
      • La configuration des modèles de certificat SSL et de demande de certificat SSL
      • Les tests de la fonctionnalité NDES
      • L’installation et la configuration du connecteur NDES pour Microsoft Intune
    • 12/11/2018

    [Windows 10 1709+] Plus de son après le Patch Tuesday d’Octobre 2018 KB4464330

    Vous avez peut-être constaté que les machines Windows 10 1709, 1803, 1809, n’avaient plus de son après l’application du Patch Tuesday d’Octobre 2018 et notamment la KB4464330. Ceci concerne les systèmes HP et Intel. Cela génère des erreurs notamment pour joindre des réunions dans Skype ou Microsoft Teams.

    Microsoft a publié un correctif : la KB4468550 que vous pouvez télécharger à partir du Catalogue de mise à jour Microsoft.

    Cette mise à jour corrige le problème suivant : après l’installation du pilote Intel Smart Sound Technology (version 09.21.00.3755) via Windows Update ou manuellement, le son de l’ordinateur peut cesser de fonctionner.

    • 12/11/2018

    [Azure] Les annonces au 12 Novembre 2018

    Voici le récapitulatif des annonces faites par Microsoft concernant sa plateforme Microsoft Azure.

    Parmi les annonces, on retrouve notamment :

    General

    • Le portail Azure se voit doter de nouveautés avec entre autres :
      • Disponibilité Générale de la capacité de changer de compte sans avoir à se déconnecter/reconnecter ou fermer le navigateur. Vous pouvez utiliser « se connecter avec un compte différent ».
      • De nouveaux filtres dans la partie Azure Marketplace permettent lister par prix, systèmes d’exploitation et éditeurs.
      • Amélioration du tableau de bord Recovery Service vault avec des menus d’opérations consolidés, une section d’aperçu avec les annonces récentes et des onglets dédiés à la sauvegarde et à la restauration de site. Dans la vue des objets répliqués, vous pouvez voir les derniers points de restauration. Vous pouvez aussi éditer les propriétés Compute and Network.
      • Reconception de la tuile Overview pour Azure SQL Data Warehouse. Ceci permet de voir l’usage des Data Warehouse Units (DWU) sur la dernière heure, les fonctionnalités disponibles, et les tâches d’administration du Data Warehouse.
      • Mise à jour de l’expérience pour la création d’un serveur logique SQL. Vous pouvez maintenant démarrer un essai d’Advanced Threat Protection dès que le serveur est créé. Vous pouvez aussi choisir l’option « Allow Azure services to access this serveur » (activé par défaut)
      • Un nouveau diagramme Database data storage permet de voir les métriques d’allocation de l’espace dans Azure SQL Database.

    Azure MarketPlace

    Azure Event Grid

    Azure SQL

    Operations Management Suite (OMS)

    HDInsight

    • Disponibilité Générale des points de terminaison privés pour les Clusters HDInsight déployés dans un réseau virtuel. Cette fonctionnalité permet aux entreprises de mieux isoler l'accès à leurs clusters HDInsight de l'Internet public et d'améliorer leur sécurité au niveau de la couche réseau. Avec l'introduction des points de terminaison privés, les entreprises peuvent désormais utiliser des règles NSG pour séparer l'accès d'Internet et des utilisateurs finaux qui se trouvent à l'intérieur des limites de confiance du réseau virtuel. Le réseau virtuel peut être étendu au réseau sur site, de sorte que le trafic provenant du réseau sur site vers un cluster HDInsight puisse également être isolé d'Internet.

    Azure App Service

    Azure IoT

    Azure Cognitive Services

    Autres services

    • Disponibilité Générale d’Azure Event Hubs pour Apache Kafka. Cette nouvelle fonctionnalité permet de lancer la diffusion en continu d'événements à partir d'applications utilisant le protocole Kafka directement dans Event Hubs, simplement en changeant une chaîne de connexion. Utilisez vos applications, frameworks et outils Kafka existants pour dialoguer avec Event Hubs et bénéficier de la facilité d'une solution platform-as-a-service ; vous n'avez pas besoin de lancer Zookeeper, de gérer ou de configurer vos clusters.
    • Disponibilité Générale d’Avere vFXT pour Azure. Cette solution est utilisée pour des applications à hautes performances. Avere vFXT pour Azure fournit un accès aux données à très faible latence, quelle que soit l'origine des données du fichier. Le Avere vFXT pour Azure fournit également une mémoire cache avec construit sur des blobs dans Azure, facilitant la migration des pipelines basés sur des fichiers sans avoir à réécrire les applications.
    • Azure Policy audite maintenant les applications installés dans une machine virtuelle. Il y a trois stratégies de configuration. La première vérifie les paramètres de sécurité des mots de passe pour Windows et Linux. La seconde est une stratégie d'audit du protocole de chiffrement utilisé par IIS sur Windows Server. La VM sera conforme si TLS version 1.1 ou 1.2 est activée et que les autres protocoles sont désactivés. La troisième vérifie si une application est installée dans les VM Windows.
    • Preview du support des réseau virtuels personnalisés pour Azure Container Instances.
    • 11/11/2018

    [Windows] Problème de sécurité avec le chiffrement BitLocker sur des disques pré-chiffrés (SED)

    Microsoft et la communauté ont signalé une vulnérabilité dans le chiffrement matériel de certains disques pré-chiffrés (Self-Encrypting Drives). Le problème concerne les disques eux-mêmes mais impactent BitLocker.

    Sur les machines Windows équipés de disques pré-chiffrés, BitLocker Drive Encryption gère le chiffrement et utilise le chiffrement matériel par défaut. Du fait que ces disques n’ont pas l’auto-chiffrement adéquat, le chiffrement par BitLocker n’est pas effectif. C’est le cas pour :

    • Crucial (Micron) MX100, MX200 et MX300.
    • Samsung T3 et T5 USB.
    • Samsung 840 EVO et 850 EVO.

    D’autres références peuvent être concernées. Plus d’infos

    Les entreprises doivent donc pour ces disques, forcer le chiffrement logiciel sur les machines équipées de disques pré-chiffrés. Ceci peut être réalisé en déployant une stratégie de groupe pour remplacer le comportement par défaut. Il est à noter que Windows appliquer le chiffrement logiciel uniquement au moment de l'activation de BitLocker.

    Afin de vérifier si vos machines sont impactées par ce problème, vous devez utiliser la procédure suivante :

    1. Via une invite de commande, exécuter managed-bde.exe -status
    2. Si les disques ne renvoient pas Hardware Encryption pour le champ Encryption Method, alors vous le chiffrement logiciel est utilisé et vous n’êtes pas affectés par les vulnérabilités.

    De manière industrielle, vous pouvez utiliser le script suivant :

    $BitlockerVolume = Get-BitLockerVolume | select encryptionmethod,mountpoint,VolumeType,ProtectionStatus |? { $_.VolumeType -eq "OperatingSystem" -and $_.ProtectionStatus -eq "On" }
    switch ($BitlockerVolume.encryptionmethod) {
    Aes128 { $true }
    Aes256 { $true }
    Aes128Diffuser { $true }
    Aes256Diffuser { $true }
    XtsAes128 { $true }
    XtsAes256 { $true }
    Default { $false }
    }

    Pour les disques qui sont chiffrés à l'aide d'une forme vulnérable de chiffrement matériel, vous pouvez atténuer la vulnérabilité en passant au chiffrement logiciel à l'aide de Bitlocker avec une stratégie de groupe.

    Notez qu’après qu'un lecteur ait été chiffré à l'aide du chiffrement matériel, le passage au chiffrement logiciel sur ce lecteur nécessitera que le lecteur soit d'abord déchiffré, puis réchiffré à l'aide du chiffrement logiciel. Si vous utilisez BitLocker, il ne suffit pas seulement de modifier la valeur de la stratégie de groupe pour appliquer le chiffrement logiciel afin de chiffrer à nouveau les données existantes.

    Pour ce faire :

    1. Configurez et déployez une stratégie de groupe pour activer le chiffrement logiciel forcé avec les paramétrages 
    2. Désactivez complètement BitLocker pour déchiffrer le lecteur avec le paramétrage : Configure use of hardware-based encryption for fixed data drives/operating system drives à Disabled
    3. Activez à nouveau BitLocker

    IMPORTANT : Il n’est pas nécessaire de reformater le lecteur ou de réinstaller des applications après avoir modifié les paramètres de BitLocker.

    Plus d’informations sur : ADV180028 | Guidance for configuring BitLocker to enforce software encryption

    • 11/11/2018

    [Intune] Suppression temporaire du paramétrage de stockage de données locale dans Intune for Education

    Microsoft a publié un avertissement (MC152397) dans le centre de messages d’Office 365 pour signifier la suppression temporaire d’un paramétrage de configuration de périphérique dans Microsoft Intune for Education.

    Le paramétrage correspondant permet à l’administration d’autoriser un utilisateur de sauvegarder des fichiers localement sur un périphérique. Ce paramétrage est disponible dans Groups – Settings – Shared device settings - Block access to local storage.

    Par défaut un périphérique configuré pour le provisionnement via Set up PC’s provisioning bloque l’accès au stockage local (exception si l’utilisateur y a accès via l’interface d’une application).

    Microsoft planifie un retour du paramétrage courant novembre.

    Source : https://techcommunity.microsoft.com/t5/Intune-Customer-Success/Support-Tip-Device-Configuration-Setting-Temporary-Modified-for/ba-p/281414

    • 10/11/2018

    [Intune] Problème connu entre Windows 10 1809 et la vérification des paramétrages de conformité Firewall

    Microsoft a communiqué concernant un problème connu entre Windows 10 1809 (October 2018)  et les paramétrages de conformité de firewall de Microsoft Intune.  Les paramétrages de conformité sont notamment utilisés pour l’accès conditionnel afin de vérifier l’état du pare-feu via le centre de sécurité Windows (Windows Security Center). En fonction de l’état du pare-feu Windows ou tiers, la stratégie de conformité marquera le périphérique comme conforme ou non conforme.

    Le problème est si vous avez défini ce contrôle de conformité, Windows renvoie l'état true - firewall activé - même si le pare-feu du périphérique n'est pas activé. Cela signifie que les périphériques sans pare-feu pourraient accéder aux ressources de l’entreprise (messagerie, etc.) même si vous souhaitiez bloquer ce comportement. Ceci ne concerne que Windows 10 1809.

    Si ce problème vous affecte, il est recommandé de déployer une stratégie de configuration de pare-feu.

    Plus d’informations : Firewall policies in Intune.

    • 10/11/2018

    [SCOM 2007R2/2012+] Le Management Pack (2046.19) Skype for Business Server 2019 est disponible

    L’équipe System Center vient de publier les packs d’administration (Management Pack) pour la brique Skype for Business Server 2019 en version 2046.19. Pour rappel, System Center Operations Manager (SCOM) fait partie de la gamme System Center, il propose une supervision souple et évolutive de l’exploitation au niveau de toute l’entreprise, réduisant la complexité liée à l’administration d’un environnement informatique, et diminuant ainsi le coût d’exploitation. Ce logiciel permet une gestion complète des événements, des contrôles proactifs et des alertes, et assure une gestion des services de bout en bout. Il établit des analyses de tendance et des rapports, et contient une base de connaissances sur les applications et le système.

    Ce management pack apporte les fonctionnalités suivantes :

    • Scénario de disponibilité de bout en bout à partir de plusieurs emplacements.
    • Fiabilité et qualité des appels perçue par les utilisateurs
    • Etat de santé et performance des composants
    • Validation de scénarios de bout en bout géographiquement distribuable pour Skype for Business Server 2019. Cela inclut la couverture pour les utilisateurs internes, distants et des succursales.
    • Couverture accrue des scénarios dans des domaines tels que la connectivité AV Edge et la connectivité de messagerie unifiée Exchange.
    • Amélioration des journaux de dépannage pour rationaliser l'analyse des causes profondes des pannes.
    • Surveillance accrue de la fiabilité des appels et des conférences des utilisateurs finaux réels.
    • Alertes intégrées sur la qualité des médias à partir des données sur la qualité de l'expérience (QoE) rapportées par les applications clients.
    • Surveillance complète des événements et des performances pour tous les rôles de Skype for Business Server 2019.

    Ce Management Pack fonctionne avec System Center Operations Manager 2007 R2, System Center 2012 Operations Manager, System Center 2016 Operations Manager, ou System Center Operations Manager 1709+. Lisez le guide associé au Management Pack pour mettre en œuvre la supervision et activer les règles nécessaires.

    Télécharger Skype for Business Server 2019, Management Pack

    • 9/11/2018

    [SCOM 2012] Mise à jour (10.0.11.0) du Management Pack pour DHCP 2016 et 1709+

    Microsoft vient de mettre à jour le pack d’administration ou Management Pack (MP) SCOM pour le service DHCP de Windows Server 2016 en version 10.0.11.0. Pour rappel, System Center Operations Manager (SCOM) fait partie de la gamme System Center, il propose une supervision souple et évolutive de l’exploitation au niveau de toute l’entreprise, réduisant la complexité liée à l’administration d’un environnement informatique, et diminuant ainsi le coût d’exploitation. Ce logiciel permet une gestion complète des événements, des contrôles proactifs et des alertes, et assure une gestion des services de bout en bout. Il établit des analyses de tendance et des rapports, et contient une base de connaissances sur les applications et le système.

    Voici les changements introduits :

    • Correction d'un problème : La découverte DHCP 2016 Scopes Discovery ne parvient pas à découvrir les étendues lorsqu’il y a un grand nombre d’étendues.
    • Ajout d'un nouveau moniteur pour la surveillance d'un grand nombre d’étendues comme une seule entité et d'une tâche pour générer un rapport sur les étendues critiques.
    • Support de Windows Server 1709+.
    • Revue des chaînes d'affichage et des articles de la base de connaissances en fonction des versions prises en charge des systèmes d'exploitation : Microsoft Windows Server 2016 et 1709+.
    • Correction d'un problème : Le moniteur WMI Health monitor ne fonctionne pas si le SPN http://servername est configuré sur un compte utilisateur.
    • Correction d'un problème : Le moniteur WMI Health monitor ne fonctionne pas si WINRM est configuré pour utiliser https uniquement.

    Notez que ce pack d’administration fonctionne avec System Center 2012 Operations Manager. Lisez le guide associé au Management Pack pour mettre en œuvre la supervision et activer les règles nécessaires.

    Télécharger Microsoft System Center Management Pack for Windows Server DHCP 2016

    • 9/11/2018

    [Intune] Correction des problèmes de paramétrages Edge pour Windows 10

    Microsoft va publier des correctifs pour corriger les deux problèmes connus qui ont été révélés dans Microsoft Intune. Ces derniers concernent les paramétrages Microsoft Edge de Windows 10 :

    • Pop-ups : Quand ce paramétrage est configuré à « Block », les pop-ups ne sont en réalité par bloquées sur le périphérique qui sont ciblés par le problème. En novembre, ce paramètre sera corrigé dans le backend d’Intune pour bloquer les pop-ups lorsque le paramétrage est configuré.
    • Send intranet traffic to Internet Explorer : Ce paramètre permet d’envoyer tous les sites intranet vers Internet Explorer lorsque vous ne souhaitez pas tester la compatibilité avec Microsoft Edge. Actuellement, l'interface utilisateur ne reflète pas la fonctionnalité prévue. Ceci sera corrigé en changeant les options de réglage en "Allow" au lieu de "Block". Avec cette correction, le nom de propriété GraphAPI pour ce paramètre passera de "EdgeBlockSendingIntranetTrafficToInternetExplorer" à "EdgeSendIntranetTraffictoInternetExplorer".

    Ces correctifs seront effectifs dans la mise à jour de Novembre 2018 de Microsoft Intune.

    Plus d’informations sur : https://aka.ms/edge-settings-known-issues

    • 8/11/2018

    [Windows 10 1809] Mise à jour du listing des paramétrages de stratégies de groupe

    Microsoft a publié une mise à jour de son fichier de listing des paramétrages de stratégies de groupe (GPO) pour Windows 10 1809 (October 2018 Update). On retrouve de nombreux nouveaux paramétrages dont :

    Télémétrie et Vie privée :

    • Disable deleting diagnostic data
    • Disable diagnostic data viewer.
    • Configure Microsoft 365 Update Readiness upload endpoint

    Système :

    • Settings Page Visibility (pour l’utilisateur). Ceci était très attendu !
    • Allow Clipboard synchronization across devices
    • Allow Clipboard History
    • Remove frequent programs list from the Start Menu
    • Remove All Programs list from the Start menu
    • Do not keep history of recently opened documents
    • Force Start to be either full screen size or menu size
    • Remove "Recently added" list from Start Menu

    OOBE :

    • Don't launch privacy settings experience on user logon

    Windows Update

    • Remove access to "Pause updates" feature
    • Display options for update notifications

    Windows Defender :

    • Configure detection for potentially unwanted applications
    • Configure low CPU priority for scheduled scans

    Windows Defender Application Guard :

    • Allow Windows Defender Application Guard to use Root Certificate Authorities from the user’s device
    • Allow camera and microphone access in Windows Defender Application Guard
    • Allow users to trust files that open in Windows Defender Application Guard
    • Configure additional sources for untrusted files in Windows Defender Application Guard.

    Windows Defender Security Center

    • Hide the Virus and threat protection area
    • Hide the Ransomware data recovery area
    • Hide the Firewall and network protection area
    • Hide the App and browser protection area
    • Prevent users from modifying settings
    • Hide the Device performance and health area
    • Hide the Family options area
    • Hide all notifications
    • Hide non-critical notifications
    • Configure customized notifications
    • Configure customized contact information
    • Specify contact company name
    • Specify contact phone number or Skype ID
    • Specify contact email address or Email ID
    • Specify contact website
    • Hide the Account protection area
    • Hide the Device security area
    • Hide the Security processor (TPM) troubleshooter page
    • Hide the Secure boot area
    • Disable the Clear TPM button
    • Hide the TPM Firmware Update recommendation.
    • Hide Windows Security Systray

    MMC :

    • Group Policy Starter GPO Editor
    • Group Policy Management Editor
    • Storage Manager for SANs
    • Storage Manager for SANS Extension
    • Disk Management Extension
    • Share and Storage Management
    • Share and Storage Management Extension
    • DFS Management
    • DFS Management Extension
    • File Server Resource Manager
    • File Server Resource Manager Extension

    Préférences de stratégie de groupe :

    • Configure Applications preference extension policy processing
    • Configure Applications preference logging and tracing
    • Configure Data Sources preference extension policy processing
    • Configure Data Sources preference logging and tracing
    • Configure Devices preference extension policy processing
    • Configure Devices preference logging and tracing
    • Configure Drive Maps preference extension policy processing
    • Configure Drive Maps preference logging and tracing
    • Configure Environment preference extension policy processing
    • Configure Environment preference logging and tracing
    • Configure Files preference extension policy processing
    • Configure Files preference logging and tracing
    • Configure Folder Options preference extension policy processing
    • Configure Folder Options preference logging and tracing
    • Configure Folders preference extension policy processing
    • Configure Folders preference logging and tracing
    • Configure Ini Files preference extension policy processing
    • Configure Ini Files preference logging and tracing
    • Configure Internet Settings preference extension policy processing
    • Configure Internet Settings preference logging and tracing
    • Configure Local Users and Groups preference extension policy processing
    • Configure Local Users and Groups preference logging and tracing
    • Configure Network Options preference extension policy processing
    • Configure Network Options preference logging and tracing
    • Configure Network Shares preference extension policy processing
    • Configure Network Shares preference logging and tracing
    • Configure Power Options preference extension policy processing
    • Configure Power Options preference logging and tracing
    • Configure Printers preference extension policy processing
    • Configure Printers preference logging and tracing
    • Configure Regional Options preference extension policy processing
    • Configure Regional Options preference logging and tracing
    • Configure Registry preference extension policy processing
    • Configure Registry preference logging and tracing
    • Configure Scheduled Tasks preference extension policy processing
    • Configure Scheduled Tasks preference logging and tracing
    • Configure Services preference extension policy processing
    • Configure Services preference logging and tracing
    • Configure Shortcuts preference extension policy processing
    • Configure Shortcuts preference logging and tracing
    • Configure Start Menu preference extension policy processing
    • Configure Start Menu preference logging and tracing
    • Permit use of Application snap-ins
    • Permit use of Applications preference extension
    • Permit use of Control Panel Settings (Computers)
    • Permit use of Data Sources preference extension
    • Permit use of Devices preference extension
    • Permit use of Drive Maps preference extension
    • Permit use of Environment preference extension
    • Permit use of Files preference extension
    • Permit use of Folders preference extension
    • Permit use of Folder Options preference extension
    • Permit use of Ini Files preference extension
    • Permit use of Internet Settings preference extension
    • Permit use of Local Users and Groups preference extension
    • Permit use of Network Options preference extension
    • Permit use of Network Shares preference extension
    • Permit use of Power Options preference extension
    • Permit use of Printers preference extension
    • Permit use of Regional Options preference extension
    • Permit use of Registry preference extension
    • Permit use of Scheduled Tasks preference extension
    • Permit use of Services preference extension
    • Permit use of Shortcuts preference extension
    • Permit use of Start Menu preference extension
    • Permit use of Control Panel Settings (Users)
    • Permit use of Preferences tab

    Note : Il y a d'autres paramétrages mais j'ai sélectionné ceux qui me paraissaient important.

    Télécharger Group Policy Settings Reference Spreadsheet Windows 1809

    • 8/11/2018

    [M365] De nouvelles certifications pour Microsoft 365 en préparation

    Microsoft prépare actuellement de nouvelles certifications à destination des administrateurs de la solution Microsoft 365. Ces certifications sont nouvelles et regroupent toutes les briques de la solution avec notamment : l’identité, la gestion, la conformité, la sécurité, la collaboration avec Office 365 (Exchange, SharePoint, Skype for Business), Windows 10 (Windows as a Service), Azure AD, Microsoft Intune, etc.
    Ces certifications permettront d’obtenir le statut Microsoft 365 Certified: Enterprise Administrator Expert.

    Vous devez planifier les examens avant le 14 décembre et les passer avant le 17 décembre.
    Microsoft planifie leur publication finale pour le début de l’année 2019.

    On retrouve donc deux certifications :

    • MS-100: Microsoft 365 Identity and Services
      • 20-25% sur la conception et l’implémentation des services Microsoft 365 : Ceci inclut la gestion des domaines, la planification, la mise en œuvre des abonnements et tenants Microsoft 365, la gestion des abonnements et de la santé du tenant, planifier la migration des données utilisateurs.
      • 35-40% sur la gestion des identités et rôles utilisateurs : Ceci inclut la conception de la stratégie d’identité, la planification de la synchronisation avec Azure AD Connect, la gestion de la synchronisation, la gestion des identités Azure AD, et la gestion des rôles utilisateurs
      • 20-25% sur la gestion des accès et des authentifications : Ceci inclut la gestion de l’authentification, l’implémentation de l’authentification à facteurs multiples, la configuration des accès aux applications, l’implémentation des accès pour les utilisateurs externes.
      • 10-15% sur la planification des charges de travail et applications Office 365
    • MS-101: Microsoft 365 Mobility and Security
      • 30-35% sur l’implémentation des services de périphériques modernes : Ceci inclut l’implémentation de la gestion des périphériques mobiles, la gestion de la conformité de périphérique, la planification des périphériques et applications, et la planification du déploiement Windows 10.
      • 30-35% sur l’implémentation de la gestion des menaces et de la sécurité avec Microsoft 365 : Ceci inclut l’implémentation de Cloud App Security, l’implémentation de la gestion des menaces, l’implémentation de Windows Defender Advanced Threat Protection (ATP), et la gestion des rapports et alertes de sécurité
      • 35-40% sur la gestion de la conformité et de la gouvernance Microsoft 365 : Ceci inclut la configuration de la prévention de la perte de données (DLP), l’implémentation d’Azure Information Protection, la gestion de la gouvernance de données, la gestion de l’audit, et la gestion d’eDiscovery.

    Des codes de passage sont disponibles pour les 300 premiers :

    • MS100LibertyGenius 
    • MS101AmazingPjM

    Source : https://www.microsoft.com/en-us/learning/community-blog-post.aspx?BlogId=8&Id=375171

    • 7/11/2018

    [SCCM 1806] Le déploiement de système d’exploitation se bloque sur la tâche Install Software Updates

    Il semble qu’un problème touche System Center Configuration Manager 1806 avec le déploiement de système d’exploitation. Le déploiement se bloque sur la tâche Install Software Updates.
    Le problème est constaté avec Windows 10 mais il se peut que les autres systèmes soient concernés.
    Il est aussi applicable si vous avez installé le dernier correctif cumulatif (KB4462978)

    La tâche finit par tomber en timeout.

    On retrouve les erreurs suivantes dans le fichier smsts.log :

    Successfully initiated RefreshUpdates operation. For Troubleshooting, please refer to logs : UpdatesDeployment.log, UpdatesHandler.log, UpdateStore.log, WUAHandler.log, Windows Update.log
    Waiting for RefreshUpdates complete notification from Update Deployment Agent
    FALSE, HRESULT = 800705b4 (installswupdate.cpp, 1359)
    Time-out expired waiting for updates refresh complete notification.
    WaitingForRefreshUpdatesComplete(spInstall), HRESULT = 800705b4 (installswupdate.cpp, 1492)
    RefreshUpdates(bForceOnlineScan), HRESULT = 800705b4 (installswupdate.cpp, 1001)
    InstallUpdates(pInstallUpdates, tType, sJobID, sActiveResquestHandle), HRESULT = 800705b4 (main.cpp, 248)
    (…)
    Failed to run the action : Install Software Updates. This operation returned because the timeout period expired (Error: 800705B4; Source Windows)

    Le fichier RebootCoordinator.log semble boucler sur

    Ccmsetup is still running. Will retry in 1 minutes.

     

    Microsoft investigue actuellement le problème. Une des solutions de contournement proposées revient à supprimer et recréer le déploiement associé au(x) groupe(s) de mises à jour logicielles qui ciblent les clients.

    Certains ont pu constater que l’utilisation du client 1802 permet de refaire fonctionner cette étape mais ceci n’a pas pu être confirmé car le comportement semble échoué pour d’autres utilisateurs.

    • 7/11/2018

    [SCCM 1806] Publication du Correctif Cumulatif (KB 4462978) pour Configuration Manager 1806

    L’équipe ConfigMgr a publié un correctif à destination de System Center Configuration Manager 1806. Le correctif s’applique au serveur de site, aux consoles, et aux clients.

    Cette mise à jour remplace la mise à jour KB 434666645 ou KB 4459354 publiée précédemment.

    Note : les sites secondaires doivent être mis à jour manuellement et une procédure permet de vérifier la mise à jour effective de leurs bases de données.

    Parmi les corrections, on retrouve :

    Clients

    • Lorsque l'option An administrator must approve a request for this application on the device est activée, Software Center affiche une application approuvée pour un utilisateur donné sur un autre périphérique. Par exemple, si une demande d'utilisateur pour une application de l'ordinateur Desktop1 est approuvée, cette même demande est répertoriée comme approuvée lorsque cet utilisateur se connecte à l'ordinateur Desktop2.
    • Les paramètres de sélection des certificats ne sont pas reconnus lors de l'installation d'un nouveau client s'ils sont transmis à l'aide d'un fichier de configuration.
    • Après la mise à jour vers Configuration Manager 1806, les périphériques cogérés peuvent ne pas exécuter de déploiements ciblés sur les utilisateurs.
    • Après l'installation du client Configuration Manager, la clé de registre suivante peut encore contenir des données. Ces données restantes peuvent interférer avec la gestion future par le Configuration Manager ou Microsoft Intune : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DeviceManageabilityCSP

    Systèmes de site

    • Le service SMS Executive (smsexec.exe) peut s'arrêter inopinément lorsqu'il traite les données de santé des clients.
    • Le processus de désinstallation échoue pour un site à haute disponibilité qui était configuré auparavant comme serveur passif. Le fichier FailOverMgr.log contient des entrées qui ressemblent à ce qui suit : Failed to get installation directory for site server {old_site_server_name}
    • Après avoir ajouté un tenant Azure Active Directory à la console Configuration Manager, la base de données du site peut grossir de manière inattendue. Ce problème survient en raison de l'ajout d'informations d'audit étrangères à la base de données du site.
    • L'installation d'un serveur de site passif hautement disponibile peut échouer si le serveur cible est configuré pour utiliser une instance nommée pour la base de données du site dans un Always ON. De plus, les erreurs qui ressemblent à ce qui suit sont enregistrées dans le journal d’installation de Configuration Manager:
      CTool::ConvertNETBIOSToFQDN: getaddrinfo failed on {server_name}\{instance_name}, WSA error = 11001
    • La promotion d'un serveur de site passif en mode actif peut échouer. Ce problème peut survenir si l'installation du fournisseur SDK sur le serveur passif écrase des informations dans la clé de registre SMS.

    Gestion de contenu et de la distribution de logiciels

    • La procédure MP_GetSuperPeerContentLocations est optimisée pour améliorer les performances SQL et la précision des résultats.
    • Après la mise à jour de Configuration Manager 1806, le bouton Parcourir est incorrectement désactivé pour les Codes de produit dans les propriétés de Windows Installer dans la console.
    • La suspension d'un déploiement de phase configuré pour démarrer dans le futur peut amener le client à démarrer ce déploiement à la place.
    • La propriété djust the download speed to use the unused network bandwidth (Windows LEDBAT) distribution point ne fonctionne pas comme prévue dans Configuration Manager, 1806.
      Remarque : Après l'application de ce rollup, les nouveaux points de distribution qui utilisent cette propriété fonctionnent comme prévus. Toutefois, pour les points de distribution existants, vous devez désactiver puis réactiver cette propriété pour que ces points de distribution existants fonctionnent correctement.

    Gestion des mises à jour logicielles

    • Les catalogues de mise à jour de logiciels tiers ou le contenu de fichiers contenant un espace dans l'URL ou le nom de fichier ne sont pas synchronisés ou publiés.
    • Le composant Windows Server Update Services (WSUS) de Configuration Manager sur un serveur de site ne communique pas avec un serveur WSUS distant lorsqu'un proxy est configuré pour ce serveur de site.
    • Après avoir désactivé l'option Server Group pour une collection, les clients membres recherchent incorrectement un verrouillage de déploiement. Lorsque ce problème survient, le client ne peut pas installer les mises à jour.
    • KB4465865 : Les mises à jour logicielles ne sont pas téléchargées dans un environnement Configuration Manager si WSUS est déconnecté.

    Déploiement de système d’exploitation

    • Après avoir modifié une séquence de tâches qui contient une variable cachée, cette variable peut être écrasée par des informations incorrectes qui empêchent l'exécution de la séquence de tâches.
    • L'option Install software packages according to dynamic variable est automatiquement sélectionnée. Ce problème survient lorsque vous modifiez une séquence de tâches existante dans l'éditeur de séquence de tâches pour ajouter des tâches Install Package.
    • L'ajoute d’une étape Run Command Line à une séquence de tâches existante qui met à jour le système d'exploitation, échoue. De plus, une erreur qui ressemble à ce qui suit s'affiche dans l'éditeur de séquence de tâches :

    ConfigMgr Error Object:

    Instance of SMS_ExtendedStatus

    Description = “Failed to validate property TargetDrive.”;

    ErrorCode = 2147500037

     

    Gestion de conformité et de paramètrages

    • Lorsque des modifications sont apportées à l'accès contrôlé aux dossiers, la strategie Exploit Guard n'a pas d'effet sur les clients.

    Console d’administration

    • De multiples améliorations sont apportées au tableau de bord du cycle de vie.
    • La console Configuration Manager peut s'arrêter inopinément lorsque vous essayez d'ouvrir une nouvelle fenêtre, telle que la fenêtre de l’Editeur de séquence de tâches.

     

    Pour installer la mise à jour, rendez-vous dans la partie Updates and Servicing de la console d’administration.

     

    Plus d’informations sur la KB4462978 Update rollup for System Center Configuration Manager current branch, version 1806

    • 6/11/2018

    [SCOM 2012] Mise à jour (7.1.10100.2) du Management Pack pour Windows Server File & iSCSI Services 2012/2012 R2

    Microsoft vient de mettre à jour le Management Pack (7.1.10100.2) pour superviser le rôle File & iSCSI Services sur Windows Server 2012 et Windows Server 2012 R2. Ce Management Pack n’est supporté que sur System Center 2012 Operations Manager ou plus. Pour rappel, System Center Operations Manager (SCOM) fait partie de la gamme System Center, il propose une supervision souple et évolutive de l’exploitation au niveau de toute l’entreprise, réduisant la complexité liée à l’administration d’un environnement informatique, et diminuant ainsi le coût d’exploitation. Ce logiciel permet une gestion complète des événements, des contrôles proactifs et des alertes, et assure une gestion des services de bout en bout. Il établit des analyses de tendance et des rapports, et contient une base de connaissances sur les applications et le système.

    Le Management Pack apporte les changements suivants :

    • DeDuplication
    • FSRM
    • iSCSI
    • NFS
    • SMB
    • Support des namespaces clusterisés
    • Support des membres de groupe de réplication clusterisés
    • Supervision AgentLess
    • Plus de détails dans la base de connaissances

    Lisez le guide pour implémenter et obtenir plus d’information sur ce qui est supervisé par défaut ou ce qui doit être activé via des overrides.

    Télécharger System Center 2012 Management Pack for Microsoft Windows Server File & iSCSI Services 2012 R2

    • 6/11/2018

    [Intune] Des abonnements basés sur les périphériques pour les ressources partagées

    C’était une demande faite par les entreprises depuis longtemps, Microsoft vient d’officialiser un nouveau mode d’abonnement pour Microsoft Intune. Ce dernier permet de couvrir les périphériques partagés comme les modes Kiosks sur Android, Windows 10, etc. Il permet de couvrir un périphérique et non plus un utilisateur donné, ceci est très utile lorsque plusieurs utilisateurs (parfois non connus) partagent le même périphérique.

    Ce mode de licence ne permet pas de couvrir les mécanismes de sécurité et de gestion basés sur l’utilisateur (Accès conditionnel, les stratégies de protection applicatives (MAM), etc.).

    Cette licence peut fournir une valeur supplémentaire pour les périphériques en utilisant des méthodes d’enregistrement en masse telles que Windows Autopilot, Apple Business Manager ou Google zero touch enrolment, lorsque les appareils ne nécessitent pas d'affinité utilisateur et pas de fonctionnalités ciblées par l'utilisateur.

    Source : https://techcommunity.microsoft.com/t5/Enterprise-Mobility-Security/Microsoft-Intune-announces-device-based-subscription-for-shared/ba-p/280817

    • 5/11/2018

    [SCOM 2012 R2/2016] Nouveau Management Pack (10.0.2.2) pour Active Directory

    Microsoft vient de publier une nouvelle version (10.0.2.2) le pack d’administration ou Management Pack (MP) SCOM pour Active Directory. Cette version a complétement été réécrite pour l’arrivée de Windows Server 2016. Elle supporte Windows Server 2012, Windows Server 2012 R2, Windows Server 2016 et ne fonctionne qu’avec System Center 2012 R2 Operations Manager et plus.
    Pour rappel, System Center Operations Manager (SCOM) fait partie de la gamme System Center, il propose une supervision souple et évolutive de l’exploitation au niveau de toute l’entreprise, réduisant la complexité liée à l’administration d’un environnement informatique, et diminuant ainsi le coût d’exploitation. Ce logiciel permet une gestion complète des événements, des contrôles proactifs et des alertes, et assure une gestion des services de bout en bout. Il établit des analyses de tendance et des rapports, et contient une base de connaissances sur les applications et le système.

    Lisez le guide associé au Management Pack pour mettre en œuvre la supervision et activer les règles nécessaires.

    Télécharger Microsoft System Center Management Pack for ADDS

    • 5/11/2018

    [SCOM 2012/2016] Mise à jour (1.6.0.0) du Management Pack pour Microsoft Azure

    Microsoft vient de publier une mise à jour (1.6.0.0) du pack d’administration ou Management Pack (MP) pour Microsoft Azure. Ce Management Pack vient remplacer les précédents pour Windows Azure. System Center Operations Manager (SCOM) fait partie de la gamme System Center, il propose une supervision souple et évolutive de l’exploitation au niveau de toute l’entreprise, réduisant la complexité liée à l’administration d’un environnement informatique, et diminuant ainsi le coût d’exploitation. Ce logiciel permet une gestion complète des événements, des contrôles proactifs et des alertes, et assure une gestion des services de bout en bout. Il établit des analyses de tendance et des rapports, et contient une base de connaissances sur les applications et le système.

    Ce management pack fournit les fonctionnalités suivantes :

    • Découverte des services : Application Insights, Automation, Backup, Biztalk, Cloud Service, Data Factory, DocumentDB, Logic App, Media Services, Mobile Services, Networks, Notification Hubs, Operational Insights, Redis Cache, Scheduler, Search, Service Bus, SQL Azure, Storage Accounts, Traffic Manager, Azure Data Factory, Virtual Machines, et Websites
    • Collecte de performance pour : Cloud Services, Data Factory, DocumentDB, Mobile Services, Redis Cache, SQL Azure, Virtual Machines, Websites

    Cette version apporte les changements :

    • Correction de fausses erreurs concernant l'accès requis au service DataAccess lors de la surveillance des règles d'alerte classiques dans la configuration de la gateway.
    • Amélioration des noms et des descriptions des flux de travail responsables de la présentation des alertes métriques dans la configuration de la gateway.
    • Mise à jour de la section " Azure Alerts in Operations Manager" dans le Guide
    • Modification des noms d'alertes pour les alertes d’avertissement créées sur les moniteurs dynamiques
    • Support de System Center Operations Manager 1801
    • Mise en place d'une validation de "the given key not present in the dictionary".
    • Il est possible de mettre à jour à partir de 1.5.30.26 CTP, mais il est recommandé de recréer le modèle MP d'Azure dans la section Authoring pour obtenir de nouveaux overrides et effectuer des modifications.

    Notez que ce pack d’administration nécessite System Center 2012 Service Pack 1 (SP1) – Operations Manager, System Center 2012 R2 Operations Manager ou System Center 2016 Operations Manager

    Télécharger Microsoft System Center 2016 Management Pack for Microsoft Azure

    • 4/11/2018

    [SCOM 2012] Mise à jour (7.2.0.0) du Management Pack pour Office 365

    Microsoft a publié une mise à jour (version 7.2.0.0) pour le Management Pack d’Office 365. Pour rappel, System Center Operations Manager (SCOM) fait partie de la gamme System Center, il propose une supervision souple et évolutive de l’exploitation au niveau de toute l’entreprise, réduisant la complexité liée à l’administration d’un environnement informatique, et diminuant ainsi le coût d’exploitation. Ce logiciel permet une gestion complète des événements, des contrôles proactifs et des alertes, et assure une gestion des services de bout en bout. Il établit des analyses de tendance et des rapports, et contient une base de connaissances sur les applications et le système. Il est à noter que cette version supporte System Center 2012 Operations Manager SP1 ou plus.

    Cette mise à jour comprend les changements suivants :

    • Corrections des chaînes d'affichage.
    • Corrections des liens vers le portail Office 365.
    • Corrections mineures du guide.

    Télécharger System Center Management Pack for Office 365