Jean-Sébastien DUCHENE Blog's

Actualité, Tips, Articles sur l'ensemble des Technologies Microsoft (SCCM/SMS, EMS, Microsoft Intune, Microsoft Azure, Windows 10, SCOM, MDOP...)
    • 30/1/2019

    Téléchargez et Testez Microsoft Deployment Toolkit (MDT) 8456 !

    Microsoft vient de publier la version 8456 de Microsoft Deployment Toolkit (MDT). MDT est un accélérateur de solutions gratuit permettant d’optimiser le déploiement de systèmes d’exploitation.

    Cette version apporte les nouveautés et changements suivants :

    • Support de Windows 10 1809
    • Support de Windows ADK pour Windows 10 1809 et Windows Server 2019
    • Mise à jour des binaires SCCM avec 1810
    • Support des séquences de tâches imbriquées pour le scénario Lite-Touch
    • Support de System Center Configuration Manager 1810. Notez que cette version spécifique ou ultérieure de ConfigMgr est nécessaire pour les scénarios zero-touch installation (ZTI) et user-driven installation (UDI).
    • Support des Local Experience Packs (LXPs) modernes

     

    Voici les correctifs inclus :

    • La variable IsVM est évaluée à False sur les machines virtuelles Parallels
    • La variable IsVM est évaluée à False lorsque les machines virtuelles VMware sont configurées avec le firmware de démarrage EFI
    • Gather ne reconnaît pas le type de châssis All in One
    • MDT n'installe pas automatiquement BitLocker sur Windows Server 2016
    • Typo BDEDisablePreProvisioning dans ZTIGather.xml.

    Il existe un problème connu. A partir de Windows 10 1809, les Language Interface Packs (LIP) sont livrés sous forme de fichiers.appx LXP (Local Experience Packs). Ces LXPs ne sont pas automatiquement sélectionnés lorsqu'ils sont spécifiés dans le fichier unattend.xml et le déploiement échoue.

     

    Plus d’informations sur : https://blogs.technet.microsoft.com/mniehaus/2019/01/26/new-version-of-the-microsoft-deployment-toolkit-released/

    Télécharger Microsoft Deployment Toolkit

    • 29/1/2019

    [SCOM 2016/1801+] Le Management Pack pour SharePoint 2019 est disponible

    Microsoft vient de publier le Management Pack pour SharePoint 2019 en version 16.0.11308.30000. Pour rappel, System Center Operations Manager (SCOM) fait partie de la gamme System Center, il propose une supervision souple et évolutive de l’exploitation au niveau de toute l’entreprise, réduisant la complexité liée à l’administration d’un environnement informatique, et diminuant ainsi le coût d’exploitation. Ce logiciel permet une gestion complète des événements, des contrôles proactifs et des alertes, et assure une gestion des services de bout en bout. Il établit des analyses de tendance et des rapports, et contient une base de connaissances sur les applications et le système.

    On retrouve la supervision des éléments suivants :

    • Supervision des services SharePoint 2019 (Timer, Tracing, et Search)
    • Supervision des événements SharePoint 2019
    • Supervision des événements IIS relatifs à l'application SharePoint uniquement
    • Supervision des événements de la base de données SQL relatifs à l'application SharePoint.
    • Supervision des performances et préviens les utilisateurs quand des problèmes de performance sont détectés
    • Transfert les utilisateurs vers les articles TechNet

    Télécharger System Center Management Pack for SharePoint Server 2019

    • 29/1/2019

    Les nouvelles certifications Microsoft 365 sur la messagerie (MS-200, MS-201 et MS-202)

    Microsoft revoit en profondeur son programme de certifications avec une longue série de nouvelles certifications. Microsoft vient d’annoncer l’arrivée de nouvelles certifications pour Microsoft 365 sur le thème de la messagerie et des communications unifiées :

    Ces certifications permettent d’obtenir le nouveau statut : Microsoft 365 Certified: Messaging Administrator Associate

    La certification MS-202: Microsoft 365 Messaging Administrator Certification Transition permet de faire de transition à partir de la 70-345 Designing and Deploying Microsoft Exchange Server 2016.

    Voici les différents éléments évalués en détail :

    MS-200: Planning and Configuring a Messaging Platform

    • Gérer une infrastructure de messagerie moderne (40-45%)
      • Gérer les bases de données
      • Gérer les groupes de disponibilité de bases de données (DAGs)
      • Gérer et implémenter les accès clients
      • Gérer la restauration en cas de désastre
      • Gérer le cycle de vie de l’infrastructure de messagerie
    • Gérer la topologie de flux Email (35-40%)
      • Planifier le pipeline de transport
      • Gérer les connecteurs
      • Gérer les flux Email
      • Dépanner les problèmes de flux d’emails
    • Gérer les destinataires et les périphériques (15-20%)
      • Gérer les ressources destinataires
      • Gérer les périphériques mobiles

     

    MS 201: Implementing a Hybrid and Secure Messaging Platform

    • Planifier et implémenter une configuration et migration hybride (35-40%)
      • Planifier un environnement hybride
      • Déployer un environnement hybride
      • Planifier et Implémenter une migration
      • Gérer les dossiers publics
    • Sécuriser l’environnement de messagerie (40-45%)
      • Gérer les permissions basées sur des rôles
      • Gérer l’hygiène des messages
      • Gérer Advanced Threat Protection (ATP) pour la messagerie
      • Gérer la conformité
    • Gérer les paramétrages de l’entreprise (15-20%)
      • Gérer les paramétrages d’organisation
      • Planifier les listes d’adresses

     

    Des codes de passage sont disponibles pour les 300 premiers afin de recevoir une réduction de 80%. :

    • MS-200 : MS200PjM
    • MS-201 : MS201Best
    • MS-202 : 202MSis

    Les certifications doivent être passées avant le 1er Mars 2019. 

    Source : https://www.microsoft.com/en-us/learning/community-blog-post.aspx?BlogId=8&Id=375196

    • 28/1/2019

    [Intune] Les nouveautés de fin janvier 2019

    Microsoft vient d’annoncer la mise à disposition d’un nouvel ensemble de fonctionnalités pour Microsoft Intune.

    Les fonctionnalités suivantes sont ajoutées :

    Gestion du périphérique

    • [Android] Preview du support d’Android corporate-owned fully managed ou anciennement Corporate Owned, Business Only (COBO). La Preview focalise sur l’enregistrement du périphérique, la configuration et les scénarios de déploiement d’applications :
      • Enregistrement du périphérique via NFC, Token, QR Code et Zero Touch
      • Configuration du périphérique pour les groupes d’utilisateurs
      • Distribution et configuration des applications pour les groupes d’utilisateurs

    La preview ne couvre pas encore l’accès conditionnel, la conformité du périphérique, les stratégies de protection applicative, le ciblage sur des groupes de périphériques, la gestion des certificats, l’enregistrement KNOX Mobile, etc.

    • [Windows 10] Support de l’effacement sélectif pour les périphériques utilisant Windows Information Protection sans enregistrement. Windows Information Protection Without Enrollement (WIP-WE) permet aux entreprises de protéger la donnée d’entreprise sur des postes Windows 10 sans nécessiter l’enregistrement complet du périphérique dans la solution de MDM. L’administrateur peut ensuite rendre les données illisibles depuis Mobile App > App Selective Wipe.

     

    Configuration du périphérique

    • [Windows 10] Le profil de configuration en mode Kiosk de Windows 10 est maintenant en version finale.

    • [Windows 10] Microsoft introduit les Security Baselines en Public Preview. Ceci permet d’intégrer les paramétrages recommandés par Microsoft (Security Basellines) que nous connaissons déjà et qui permettent notamment d’appliquer les GPOs recommandées. Dans le cas d’Intune, un administrateur peut créer des stratégies de sécurité directement à partir de ces baselines, puis les déployer auprès de leurs utilisateurs. Vous pouvez également personnaliser les recommandations de bonnes pratiques pour répondre aux besoins de l’entreprise. Intune s'assure que les périphériques restent conformes à ces lignes de base et avertit les administrateurs des utilisateurs ou des périphériques qui ne sont pas conformes.
    • [Windows 10] Les utilisateurs non-administrateurs peuvent maintenant activer BitLocker sur des périphériques Windows 10 joints à Azure AD. Ceci peut se faire en naviguant dans Device configuration > Profiles > Create profile > Windows 10 and later comme plateforme > Endpoint protection comme type de profil > Windows Encryption.

    • [Windows 10] Cette mise à jour inclut un nouveau paramètre de conformité System Center Configuration Manager (Device compliance > Policies > Create policy > Windows 10 and later > Configuration Manager Compliance). Configuration Manager envoie des informations de conformité à Intune. En utilisant ce paramètre, vous pouvez exiger que toutes les informations de Configuration Manager retournent "compliant". Par exemple, vous souhaitez que toutes les mises à jour logicielles soient installées sur les périphériques. Dans ConfigMgr, cette exigence a l'état "Installé". Si l'un des éléments du périphérique se trouve dans un état inconnu, alors le périphérique n'est pas conforme à Intune.

    • [iOS] Vous pouvez maintenant personnaliser le fond d'écran sur les périphériques iOS supervisés. Pour ce faire, vous devez naviguer dans Device configuration > Profiles > Create profile > iOS pour plateforme > Device features pour le type de périphérique. L’administrateur peut ensuite spécifier un fichier .png, .jpg ou .jpeg à utiliser pour l’écran d’accueil ou l’écran de verrouillage.

    • [Android Enterprise] Suppression du paramétrage Content Sharing via Bluetooth dans Device Restrictions > Device Owner > General. En effet, cette configuration n’est pas supportée par le mode Android Enterprise Device Owner. Même si vous aviez activé, ce paramétrage celui-ci ne fonctionnait pas. Ainsi son retrait n’affectera pas les périphériques et les tenants existants.

    Gestion des applications

    • [Windows 10] Vous pouvez supprimer l’affichage des notifications (toast) à destination des utilisateurs pour l’assignement d’applications. Cela peut se faire via Intune > Client Apps > Apps > <En sélectionnant l’application> > Assigments > Include Groups. Vous pouvez afficher toutes les notifications, uniquement celles pour le redémarrage, ou tout cacher.

    • [iOS/Android] Microsoft a changé les étiquettes des paramètres et des boutons pour la protection des applications Intune afin de les rendre plus faciles à comprendre. Quelques-uns des changements incluent :
      • Les contrôles sont changés de yes / no à principalement block / **allow ** et désactivent / activent les contrôles. Les étiquettes sont également mises à jour.
      • Les réglages sont reformatés, de sorte que le réglage et son étiquette sont côte à côte dans le contrôle, pour une meilleure navigation.

    Ceci ne change pas le comportement du paramétrage ou sa configuration pour les stratégies existantes.

    • [iOS/Android] Vous pouvez maintenant configurer des paramètres supplémentaires pour Outlook pour iOS et Android. Les réglages comprennent les éléments suivants :
      • Autoriser uniquement des comptes d’entreprise ou d’école pour Outlook sur iOS et Android
      • Utiliser SAMAccountName pour le champ du nom d'utilisateur dans le profil de messagerie lorsque l'authentification de base est sélectionnée
      • Autoriser l'enregistrement des contacts
      • Configurer les destinataires externes MailTips
      • Configurer la Focused Inbox
      • Exiger la biométrie pour accéder à Outlook pour iOS
      • Bloquer les images externes

    • [Android] Dans un scénario de déploiement APP-WE (App Protection Policy Without Enrollment) non enregistré, vous pouvez désormais utiliser Google Play pour déployer des applications du Store et des applications métiers aux utilisateurs. Plus précisément, vous pouvez fournir aux utilisateurs finaux un catalogue d'applications et une expérience d'installation qui n'exige plus des utilisateurs finaux qu'ils change les paramétrages de sécurité de leurs périphériques en autorisant des installations de sources inconnues.
    • [Android Enterprise] Vous pouvez supprimer les applications Google Play gérées de Microsoft Intune. Pour supprimer une application Google Play gérée, ouvrez Microsoft Intune et sélectionnez Client Apps > Apps. Dans la liste des applications, sélectionnez les (...) à droite de l'application Google Play gérée, puis sélectionnez Delete. Lorsque vous supprimez une application Google Play gérée de la liste des applications, l'application Google Play gérée est automatiquement désapprouvée.

    • [Android Enterprise] Le type d'application Managed Google Play vous permettra d'ajouter spécifiquement des applications Google Play gérées à Intune. Vous pouvez désormais parcourir, rechercher, approuver, synchroniser et attribuer des applications Google Play gérées approuvées dans Intune. Vous n'avez plus besoin de naviguer sur la console Google Play gérée séparément et vous n'avez plus besoin de vous authentifier à nouveau. Dans Intune, sélectionnez Client apps > Apps > Add. Dans la liste Type d'application, sélectionnez Managed Google Play comme type d'application.

     

    Supervision et Dépannage

    • [Général] Intune dispose d'un journal d'audit intégré qui suit les événements au fur et à mesure que les changements sont effectués. Cette mise à jour inclut de nouvelles fonctionnalités de journalisation, notamment :
      • Les journaux opérationnels (Preview) montrent des détails sur les utilisateurs et les périphériques qui se sont inscrits, y compris les succès et les échecs des tentatives.
      • Les journaux d'audit et les journaux opérationnels peuvent être envoyés à Azure Monitor, y compris dans des comptes de stockage, des Event Hubs et Log Analytics. Ces services vous permettent de stocker, d'utiliser des outils analyses telles que Splunk et QRadar, et d'obtenir des visualisations de vos données de journalisation.

     

    Plus d’informations sur : https://docs.microsoft.com/en-us/intune/whats-new

    • 28/1/2019

    Nouvelle Preview 18317 de Windows Server vNext Insider

    Microsoft a publié une nouvelle version 18317 Windows Server vNext Semi-Annual Channel en Preview. Cette version requiert une installation fraiche et ne peut être utilisée pour mettre à jour une version précédente.

    Parmi les nouveautés, on retrouve :

    • Windows Defender Application Control permet de supporter plusieurs stratégies :
      • Scénario 1 - Déployer une politique "de base" en mode forcée et déployer une deuxième politique "d'audit" côte à côte pour permettre la validation des changements de stratégie avant le déploiement en mode exécution. (Intersection)
      • Scénario 2 - Appliquer simultanément deux ou plusieurs stratégies "de base" pour permettre un ciblage plus simple des stratégies pour des stratégies de portée et d'intention différentes
      • Scénario 3 - Stratégies supplémentaires déployées pour étendre la stratégie de base, par exemple, la stratégie de base de l'hôte Azure se limite étroitement à autoriser Windows et les pilotes matériels permettent les stratégies supplémentaires. La politique supplémentaire de l'équipe Exchange Azure n'ajoute que les règles de signature supplémentaires nécessaires pour prendre en charge le code signé par l'équipe Exchange.
    • Nouvelle version de Windows Admin Center.
    • Preview du thème noir pour Windows Admin Center.
    • Configuration de Windows Admin Center en utilisant PowerShell.
    • Différentes corrections de bugs :
      • Correction d’un problème où un changement de mot de passe pouvait entraîner la prochaine suspension de déverrouillage pour les utilisateurs AD joints à un domaine.
      • Correction d’un problème concernant les violations d'accès fréquentes dans bindflt!BfNormaliserNameComponentExCallback.
      • Correction d’un problème où SRV2.sys pouvait planter avec une violation d'accès lors de la tentative de connexion à une machine cliente avec une chaîne de nom nulle.
      • Correction d’un problème où les applications d'ouverture de session OpenId Connect peuvent connaître une latence élevée dans l'authentification ADFS lors de l'utilisation du flux de code SAML et Oauth.
      • Correction d’un problème où une corruption occasionnelle pouvait se produire dans les informations UserName sur les événements récupérés à l'aide de la fonction Get-RemoteAccessConnectionStatistics du cmdlet PowerShell.
      • Correction d’un problème où l'utilisation de l'explorateur de fichiers classique dans le noyau du serveur à partir de l'App Compat FOD, cliquer sur Ejecter sur un périphérique USB avertirait l'utilisateur que la clé USB est actuellement utilisée, entraînant une opération d'éjection suspendue.
      • Correction d’un problème où les fichiers d'état d'exécution de la machine virtuelle (VMRS) ne se chargeaient pas. Un système affecté peut signaler un échec dans la recherche ou la réception de la VM de l'hôte source en raison de l'invalidité des données (0x8007000d).

    Il existe des problèmes connus.

    Plus d’informations sur : Announcing Windows Server vNext Insider Preview Build 18317

    • 27/1/2019

    Les bonnes pratiques de Microsoft Cyber Defense Operations Center

    Voilà un article intéressant de l’équipe MSRC à propos des bonnes pratiques de l’équipe Microsoft Cyber Defense Operations Center en matière de sécurité.

    Les piliers de la stratégie sont les suivants :

    • L'authentification multifactorielle (MFA) comme Windows Hello for Business (H4B) est utilisée pour contrôler la gestion des identités et des accès.
    • L’administration utilise les privilèges d'administrateur juste à temps (JIT) et juste assez d'administrateurs (JEA) pour les ingénieurs qui gèrent l'infrastructure et les services. Ceci fournit un ensemble unique de justificatifs d'identité pour l'accès élevé qui expire automatiquement après une durée prédéfinie.
    • L’utilisation de logiciels anti logiciels malveillants mis à jour et à une gestion rigoureuse des correctifs et de la configuration.
    • Microsoft Security Development Lifecycle est utilisé pour durcir toutes les applications, les services en ligne et les produits, et pour valider régulièrement son efficacité par des tests de pénétration et des analyses de vulnérabilité.
    • La modélisation des menaces et l'analyse des surfaces d'attaque permettent d'évaluer les menaces potentielles, d'évaluer les aspects exposés du service et de minimiser la surface d'attaque en restreignant les services ou en éliminant les fonctions inutiles.
    • La classification des données en fonction de leur degré de sensibilité - élevée, moyenne ou faible - et la prise des mesures appropriées pour les protéger, y compris le chiffrement en transit et au repos, ainsi que l'application du principe de l'accès le moins privilégié, offrent une protection supplémentaire.
    • Les formations de sensibilisation favorisent une relation de confiance entre l'utilisateur et l'équipe de sécurité afin de développer un environnement dans lequel les utilisateurs pourront signaler les incidents et anomalies sans crainte de représailles
    • Une surveillance et des contrôles étendus de l'environnement physique des datacenters mondiaux, y compris les caméras, le filtrage du personnel, les clôtures et barrières et l'authentification multifactorielle pour l'accès physique.
    • Le Software-defined network qui protège l’infrastructure Cloud contre les intrusions et les attaques par déni de service distribué.
    • Les postes de travail d’administration sécurisés sont des postes de travail sécurisés et provisionnés conçus pour la gestion des systèmes de production et des activités quotidiennes telles que le courrier électronique, l'édition de documents et le travail de développement.
    • L'équipe de chercheurs de Windows Defender Security Intelligence identifie, conçoit et développe des signatures de logiciels malveillants, puis les déploie dans toute l’infrastructure pour une détection et une défense avancée.

     

    Vous pouvez retrouver l’article ou des éléments plus détaillés provenant du CDOC.

    • 27/1/2019

    Disponibilité Générale de Windows Admin Center 1809.5 et d’une extension de gestion du matériel Lenovo

    Microsoft vient d’annoncer la disponibilité générale d’une nouvelle version 1809.5 de la nouvelle interface graphique permettant de gérer les infrastructure Windows Server : Windows Admin Center. Pour rappel, Windows Admin Center permet de gérer tous les rôles des infrastructures Windows Server (File Server, Hyper-V, Storage Replica, Cluster, etc.) ainsi que de s’interconnecter à des services Azure. C’est aussi la sortie de l’extension Lenovo XClarity Integrator permettant d’étendre la gestion du matériel.

    Parmi les nouveautés, on retrouve notamment les capacités :

    • Amélioration de l’accessibilité
    • Amélioration des messages de notification
    • Amélioration de la gestion des certificats pour les mises à niveau
    • Nouvel écran de lancement (Splash Screen) lors du chargement de Windows Admin Center.
    • Sur Hyper-V :
      • Ajout/suppression d'un disque ou d'un lecteur virtuel pour des machines virtuelles en cours d’exécution
      • La console Web VM Connect fonctionne désormais dans l'outil Virtual Machine sur les connexions Failover Cluster et HCI Cluster.
      • Le temps de rafraîchissement de l'état des machines virtuelles est amélioré sur les clusters HCI Windows Server 2019.
      • L'état de protection d'Azure Site Recovery est affiché pour les machines virtuelles sur tous les nœuds de cluster.
      • Les alertes de santé des machines virtuelles affichent maintenant le nom de la VM au lieu de l'ID de la VM
    • Amélioration de l’interface pour Cluster Aware Updating
    • Les extensions installées par l'utilisateur sont conservées dans toutes les mises à niveau de Windows Admin Center.
    • Résilience accrue contre les erreurs d'extension

    Concernant l’hyper convergence (HCI), on retrouve :

    • Actions en masse multi-sélectionnées pour les lecteurs, les volumes et les serveurs
    • Supervision du stockage par serveur.
    • Meilleure supervision de l’activité réseau.

    Télécharger Windows Admin Center 1809

    • 26/1/2019

    Vous avez un an pour migrer vos infrastructures Exchange Server 2010

    L’équipe Exchange a rappelé au travers d’un blog que la fin de support d’Exchange Server 2010 est prévue pour le 14 Janvier 2020. Ceci vous laisse donc un an pour migrer vers Office 365 ou une version supérieure d’Exchange Server.

    Dans un an, Microsoft ne fournira plus :

    • De support technique en cas de problème
    • De correctifs pour des bugs découverts qui peuvent impacter la stabilité et l’utilisation des serveurs
    • De correctifs de sécurité pour des vulnérabilités découvertes
    • De mises à jour de fuseaux horaires.

    Plus d’informations sur : Exchange Server 2010 End of Support is (Still) Coming

    • 26/1/2019

    Publication de la version de Janvier 2019 d’Azure Data Studio

    Microsoft publie une nouvelle version (Janvier 2019) d’Azure Data Studio, précédemment connu sous le nom SQL Operations Studio. Azure Data Studio offre une expérience d'éditeur moderne avec IntelliSense, des extraits de code, l'intégration du contrôle des sources et un terminal intégré.

    Les utilisateurs passent de plus en plus de temps à travailler sur l'édition des requêtes que sur toute autre tâche avec SQL Server Management Studio. Pour cette raison, Azure Data Studio a été conçu pour se concentrer en profondeur sur les fonctionnalités les plus utilisées, avec des expériences supplémentaires disponibles comme des extensions optionnelles. Cela permet à chaque utilisateur de personnaliser son environnement comme il utilise le plus souvent.

    Cette version intègre les changements suivants :

    • Support de l'authentification Azure Active Directory
    • Annonce du support de l'assistant Data-Tier Application Wizard
    • Annonce de IDERA SQL DM Performance Insights (Preview)
    • Mises à jour de l'extension pour SQL Server 2019 Preview
    • Améliorations apportées au SQL Server Profiler
    • Preview : streaming des résultats pour les requêtes volumineuses
    • Corrections de bugs

     

    Quand utiliser Azure Data Studio ?

    • Vous devez utiliser macOS ou Linux
    • Vous devez vous connecter sur un cluster big data SQL Server 2019
    • Vous passez plus de temps à éditer ou exécuter des requêtes
    • Vous voulez de visualiser rapidement des graphiques et de visualiser des ensembles de résultats
    • Vous avez un besoin minimal d’assistants
    • Vous n'avez pas besoin de faire de configuration administrative profonde

    Quand utiliser SQL Server Management Studio ?

    • Vous passez la plupart de votre temps à des tâches d'administration de bases de données.
    • Vous avez besoin de faire une configuration administrative importante
    • Vous effectuez la gestion de la sécurité, y compris la gestion des utilisateurs, l'évaluation des vulnérabilités et la configuration des éléments de sécurité.
    • Vous utilisez les rapports pour SQL Server Query Store
    • Vous devez faire des optimisations de la performance et utiliser des tableaux de bord
    • Vous avez besoin d'accéder aux serveurs enregistrés et de contrôler les services SQL Server sous Windows

    Plus d’informations: https://cloudblogs.microsoft.com/sqlserver/2019/01/09/the-january-release-of-azure-data-studio-is-now-available/

    Pour rappel, ces outils sont disponibles depuis Windows, macOS, et Linux pour permettre de gérer SQL Server, Azure SQL Managed Instance, Azure SQL Database, Azure SQL Data Warehouse, et SQL Server 2019 Big Data Clusters.

    Télécharger Azure Data Studio

    • 25/1/2019

    [Intune] Problème connu de renouvellement des profils sur les ordinateurs macOS

    Microsoft a publié dans le centre de messages à propos d’un problème connu qui touchent les périphériques macOS gérés par Microsoft Intune. Il se peut qu’ils ne puissent pas renouveler le profil d’administration (management profile). Les périphériques essayent de le renouveler à chaque évaluation du service à partir de 28 jours avant qu’il expire. Ceci survient sur les périphériques exécutant macOS 10.14 ou plus.

    Microsoft travaille avec Apple pour corriger le problème.

    En attendant, vous pouvez ajourner la mise à jour vers Mojave (10.14) ou exécuter le script suivant pour identifier les périphériques qui auraient un profil d’administration arrivant à expiration afin de procéder au réenregistrement dans Microsoft Intune quand ils sont proches de cette date d’expiration.

    • 25/1/2019

    [Azure] Les annonces au 25 janvier 2019

    Voici le récapitulatif des annonces faites par Microsoft concernant sa plateforme Microsoft Azure.

    Parmi les annonces, on retrouve notamment :

    General

    Azure MarketPlace

    Azure Storage

    IaaS

    Operations Management Suite

    Azure Backup

     

    Azure Site Recovery

    • Publication de l’Update Rollup 32 pour Azure Site Recovery avec les changements suivants :
      • Support de RedHat Enterprise Linux 7.6
      • Support de RedHat Workstation 6 et 7
      • Support d'Oracle Linux 6.10 et 7.6
      • Support des nouvelles versions du noyau pour Ubuntu, Debian et SUSE.
      • Support des VMs Azure qui utilisent une configuration S2D (Storage Spaced Direct)
      • La machine virtuelle sous Windows qui a des pilotes de démarrage dans le jeu de commandes actuel peut être protégée par Azure Site Recovery. Dans les versions antérieures, cette vérification était effectuée pour tous les jeux de contrôle.
      • Les drivers Linux Azure Site Recovery sont copiés sur la machine virtuelle lors des mises à jour du noyau. Dans les versions antérieures, un redémarrage était nécessaire pour copier les pilotes.
      • Améliorations des alertes de santé pour les éléments répliqués en cas d'arrêt, de suppression et d'absence de heartbeat pour les serveurs VMWare et serveurs physiques vers Azure.
      • Corrige un problème de contrôle de temps lorsque la resynchronisation est bloquée.
      • Le type de compte " Blob Storage " n'est pas disponible lorsque vous sélectionnez Target Storage Account et Target Log Storage Account lorsque vous activez la protection car ce n'était pas une configuration prise en charge.
      • Corrige un problème qui se produit lors de l'achèvement de la réplication initiale en raison d'un décalage d'horloge positif, même lorsque des points de récupération sont disponibles.
    • Support des serveurs physiques configurés en mode UEFI. Les machines virtuelles de type UEFI ne sont pas prises en charge dans Azure. Cependant, ASR vous permet de migrer ces serveurs Windows vers Azure en convertissant le type de démarrage des serveurs sur site vers le BIOS lors de leur migration.
    • ASR supporte maintenant les répertoires sur différents disques et supporte également /boot sur un volume LVM. Cela signifie essentiellement qu'ASR permet la migration de machines virtuelles Linux avec OS et disques de données gérés par LVM, et répertoires sur plusieurs disques.
    • Extension des versions de système supportées pour AWS avec RHEL 6.5+, RHEL 7.0+, CentOS 6.5+, CentOS 7.0+.

    Azure App Service

    • NET Core 2.2 est maintenant disponible dans toutes les régions publiques et les régions de cloud souverain pour Azure App Service sous Windows. Cela inclut également les clients utilisant les environnements App Service. Cette version apporte le support de la version 64 bits.

    Azure Monitor

    • Intégration de Grafana avec Azure Monitor Logs via le plugin Log Analytics. Le nouveau plugin vous permet d'afficher toutes les données disponibles dans Log Analytics, telles que les logs relatifs aux performances de la machine virtuelle, la sécurité, Azure Active Directory qui a récemment intégré Log Analytics, et de nombreux autres types de logs y compris les logs personnalisés.

    Azure SQL

    Azure Data Factory

    HDInsight

    Azure IoT

    Azure Cognitive Services

    Certifications

    • Microsoft obtient la certification Korea-Information Security Management System (K-ISMS). La certification K-ISMS a été introduite par la Korea Internet and Security Agency (KISA) et est conçue pour assurer la sécurité et la confidentialité des données dans la région grâce à un ensemble rigoureux d'exigences de contrôle. L'obtention de cette certification signifie que les clients d'Azure en Corée du Sud peuvent plus facilement démontrer qu'ils respectent les exigences légales locales en matière de protection des principaux actifs d'information numérique et respectent plus facilement les normes de conformité KISA.
    • Ajout des certifications suivantes pour Azure Cognitive Services : ISO 20000-1:2011, ISO 27001:2013, ISO 27017:2015, ISO 27018:2014, ISO 9001:2015 certification, HIPAA BAA, HITRUST CSF certification, SOC 1 Type 2, SOC 2 Type 2, SOC 3, et PCI DSS Level 1 attestation

    Autres services

    • 24/1/2019

    [Intune/SCCM] Correctif important pour les infrastructures SCCM en mode hybride avec Microsoft Intune

    Microsoft a publié un article dans la base de connaissances concernant un problème touchant les infrastructures System Center Configuration Manager Current Branch en mode hybride couplé avec Microsoft Intune. Pour rappel, Microsoft a déprécié ce mode de fonctionnement depuis le 14 août 2018. Microsoft ne supportera plus ce dernier à partir du 1er Septembre 2019 et les périphériques ne recevront plus de stratégies, d’applications, etc. Vous devez alors migrer vers Microsoft Intune seul ou en Co-Management.

    Ceci ne concerne pas les entreprises qui utiliseraient le Co-Management !

    Les entreprises qui hébergent le rôle Service Connection Point sur Windows Server 2012 ou Windows Server 2012 R2 doivent appliquer un correctif (4487960) pour permettre le renouvellement des certificats utilisés pour la communication entre Microsoft Intune et Configuration Manager. Ce dernier est disponible au travers du nœud Updates and Servicing de la console d’administration.

    Note : Ce correctif n’est disponible que pour Configuration Manager 1806 et 1810. Si vous utilisez une version antérieure, vous devez mettre à jour vers l’une de ces deux versions.

    Vous pouvez voir les erreurs suivantes dans le fichier DMPUploader.log :

    Exception: [Unable to cast COM object of type 'System.__ComObject' to interface type 'CERTENROLLLib.CX509PrivateKey'. This operation failed because the QueryInterface call on the COM component for the interface with IID '{728AB362-217D-11DA-B2A4-000E7BBB2B09}' failed due to the following error: No such interface supported (Exception from HRESULT: 0x80004002 (E_NOINTERFACE)).]

    Si vous n’appliquez pas ce correctif, alors les nouvelles stratégies et changements que vous feriez, ne seraient pas appliqués sur les périphériques gérés en mode hybride.

    Vous pouvez aussi observer les messages suivants dans le fichier DMPUploader.log :

    Making Web Request to Location Service Url exception System.Net.WebException: The remote server returned an error: (403) Forbidden.~~
    at System.Net.HttpWebRequest.GetResponse()~~
    at Microsoft.ConfigurationManager.DmpConnector.Connector.SccmProxyGenerator.GetRestUserAuthLocationServiceResponse()

    Si le certificat a déjà expiré, vous devez contacter le support Microsoft.

    Plus d’informations sur : Microsoft Intune connector certificate does not renew in Configuration Manager

    • 24/1/2019

    [SCCM CB] Erreur 1603 lors de l’installation/mise à jour de rôles de système de site (FSP, MP, Application Catalog, etc.)

    Aujourd’hui en mettant à jour une de mes infrastructures System Center Configuration Manager, j’ai pu observer plusieurs installation/réinstallation de rôles de système de site échouer avec l’erreur : 1603.

    Cela a notamment été le cas pour les rôles :

    • Fallback status point (smsfspsetup.log & fspMSI.log)
    • Management Point (mpsetup.log & mpMSI.log)
    • Application Catalog Web Service point (SMSAWEBSVCSetup.log & awebsvcMSI.log)
    • Application Catalog Web Site point (SMSPORTALWEBSetup.log & portlwebMSI.log)

    L’erreur 1603 est générique et peut être en réalité la résultante de beaucoup de situations différentes. Je décris un des cas ici. Vous devez pour cela vous référer à l’erreur précise du fichier MSI.

    L’ensemble de ces rôles et leurs MSI renvoyait des erreurs comme suit :

    fsp.msi exited with return code: 1603

    Backing up F:\Program Files\Microsoft Configuration Manager\logs\fspMSI.log to F:\Program Files\Microsoft Configuration Manager\logs\fspMSI.log.LastError

    Fatal MSI Error - fsp.msi could not be installed.

     

    En regardant dans l’un des fichiers MSI résultant, j’ai pu observer des erreurs comme suit :

    [12:06:29] Processing Port List of WebSite [1]

    [12:06:29] ERROR: Failed to get property value for 'certificateHash'. Error 0x80070057

    [12:06:29] ERROR: GetSSLCertBindingInfo failed with error 0x80070057

    [12:06:29] ERROR: Failed to configure sms ports '0x80070057'.

    [12:06:29] ERROR: Failed to process port information.

    [12:06:29] @@ERR:25011

    MSI (s) (98!D4) [12:06:29:997]: Product: Application Web Service -- Internal Error 25011. 80070057

    Internal Error 25011. 80070057

    CustomAction CcmCreateIISVirtualDirectories returned actual error code 1603 (note this may not be 100% accurate if translation happened inside sandbox)

     

    En regardant de plus près, le problème de configuration vient du site web IIS utilisé. Ouvrez alors la configuration du site IIS via IIS Manager puis sélectionnez edit bindings… sur le site en question (la plupart du temps le site web par défaut) :

    Vous avez ici plusieurs possibilités :

    • Soit, vous utilisez le mode HTTPS et le binding du certificat n’est plus correcte (sur Not Selected). Ceci peut être dû au fait que le certificat ait été supprimé du serveur ou autre. Dans ce cas, vous pouvez éditer le binding HTTPS et réassocier le certificat.
    • Soit, vous avez un problème de lecture de la configuration du site web IIS. Dans ce cas, vous pouvez supprimer le binding HTTPS pour le recréer.

     

    • 23/1/2019

    [Intune] Changement : Mise à jour de l’expérience utilisateur du portail d’entreprise pour iOS

    Microsoft a publié un message (MC172273) dans le Message Center à propos d’un changement prochain de l’interface et de l’expérience utilisateur proposé par le portail d’entreprise (Company Portal) de Microsoft Intune à destination d’iOS. Cette version comprend les changements suivants :

    • Une page d'accueil avec l'aspect natif d'iOS
    • Fonctions de filtrage sur les listes de contenu et de recherche, y compris la possibilité de filtrer par type de contenu (applications ou ebooks) et par disponibilité (gestion des périphériques requise ou disponible sans enregistrement)
    • Possibilité de rechercher des livres électroniques
    • Historique de recherche d'applications et d'ebooks

    Vous pouvez tester cette version en avant-première via le lien suivant : https://aka.ms/intune_ios_cp_testflight

    Vous devez pour cela avoir les prérequis suivants :

    • Un tenant Intune avec un le certificat Apple Push Notification Service (APNs) configuré
    • Un périphérique iOS de test.
    • Fournir des retours sur l’expérience.

    Pour plus d’informations et obtenir un aperçu du rendu graphique : https://techcommunity.microsoft.com/t5/Intune-Customer-Success/Coming-soon-User-experience-update-to-Intune-Company-Portal-app/ba-p/320938

    • 23/1/2019

    Les annonces sur la partie Modern Workplace (Windows 10, EMS, Office 365, etc.) au 23 Janvier 2019

    L’actualité concernant la partie Modern Workplace est très riche ! Il est parfois difficile de tout s’approprié. Cet article résume les différentes annonces :

    Général

    • Microsoft lance Microsoft 365 Freelance toolkit, une solution à destination des indépendants pour permettre de faire grossir leur activité. On retrouve l’utilisation de SharePoint, Microsoft Teams avec les aspects de communication, gestion de tâches, stockage, accès externes, et sécurité. Enfin, l’offre propose un accès à Power BI et Microsoft Flow pour l’automatisation.

    Enterprise Mobility + Security

    Microsoft Intune

    • Preview du support d’Android corporate-owned fully managed ou anciennement Corporate Owned, Business Only (COBO). La Preview focalise sur l’enregistrement du périphérique, la configuration et les scénarios de déploiement d’applications :
      • Enregistrement du périphérique via NFC, Token, QR Code et Zero Touch
      • Configuration du périphérique pour les groupes d’utilisateurs
      • Distribution et configuration des applications pour les groupes d’utilisateurs

    La preview ne couvre pas encore l’accès conditionnel, la conformité du périphérique, les stratégies de protection applicative, le ciblage sur des groupes de périphériques, la gestion des certificats, l’enregistrement KNOX Mobile, etc.

    • Microsoft a publié un message (MC172273) dans le Message Center à propos d’un changement prochain de l’interface et de l’expérience utilisateur proposé par le portail d’entreprise (Company Portal) de Microsoft Intune à destination d’iOS.
    • Preview des modèles d’administration ADMX permettant de configurer de nombreux éléments non pris en compte par les stratégies de configuration et les CSP de Windows 10. Les stratégies ADMX-backed sont supportées à partir de Windows 10 1703. On retrouve pas moins de 300 Paramètres disponibles dans la console d’administration Microsoft Intune.
    • Une nouvelle page d’état du tenant fournit des informations détaillées sur votre tenant selon 4 catégories :
      • Tenant Details - Affiche des informations qui comprennent le nom et l'emplacement de votre tenant, votre autorité MDM, le nombre total d'appareils inscrits dans votre tenant et le nombre de licences que vous détenez. Cette section répertorie également la version de service actuelle pour votre tenant.
      • Connector Status - Affiche des informations sur les connecteurs disponibles que vous avez configurés et peut également lister ceux que vous n'avez pas encore activés. En fonction de l'état actuel de chaque connecteur, ils sont marqués comme sains, en avertissement ou en erreur. Sélectionnez un connecteur pour obtenir plus de détails ou configurer des informations supplémentaires à son sujet.
      • Intune Service Health - Affiche des détails sur les incidents ou les pannes actifs pour votre tenant. Les informations contenues dans cette section sont directement extraites de l'Office Message Center.
      • Intune News - Affiche des messages actifs pour votre tenant. Les messages comprennent des éléments tels que les notifications lorsque votre tenant reçoit les dernières fonctionnalités d'Intune. Les informations contenues dans cette section sont directement extraites de l'Office Message Center.
    • Voir la liste complète des nouveautés de ce début Janvier 2019.

     

    Office 365 et Office

    • Depuis le 1er Janvier 2019, Microsoft propose une nouvelle offre Teams Meeting Rooms à destination des périphériques dans les salles de réunions et pour permettre d’accéder aux services de voix dans le Cloud. On retrouve notamment : Skype for Business Online Plan 2, Microsoft Teams, Phone System, Audio Conferencing (quand ce sera disponible) et Microsoft Intune. Ce Bundle sera disponible via CSP, EA, EAS, EES et Web Direct.
    • A partir du 19 février, Microsoft met à jour les stratégies d'alerte de l'Office 365 Security & Compliance Center avec un contrôle d'accès plus granulaire basé sur les rôles. Grâce à cette fonctionnalité, vous pouvez avoir un contrôle plus granulaire sur les alertes qui peuvent être visualisées par qui dans l’Office 365 Security & Compliance Center. Après la publication, les rôles d'un utilisateur détermineront à quelle catégorie d'alertes il a accès. Par exemple, un administrateur de conformité n'aura plus accès à la gestion des menaces ou aux alertes de flux de courrier, ce qui l'aide à mieux se concentrer sur le triage et l'investigation des alertes liées à la conformité, comme la gouvernance des données, la prévention des pertes de données, etc.

    Communications Unifiées

    • Exchange Online :
    • Skype for Business
      • La preview de Skype for Business Call Analytics est remplacée par les nouvelles fonctionnalités des centres d’administration de Microsoft Teams et Skype for Business. Microsoft planifie de retirer la fonctionnalité du centre d’administration de Lync à partir du 15 février 2019.

    Collaboration

    • 22/1/2019

    [SCOM] Mise à jour (7.0.12.0) du Management Pack pour superviser SQL Server 2017+ Reporting Services

    Microsoft vient de mettre à jour (7.0.12.0) des packs d’administration ou Management Packs (MP) SCOM pour superviser SQL Server 2017 Reporting Services. Il fonctionne avec SCOM 2012 R2 ou plus.  Il supervise le moteur Reporting Services en mode natif ou dans un mode de déploiement Scale-out ainsi que les instances Power BI Report Server. On retrouve des éléments permettant de superviser la disponibilité, la performance, la configuration, de collecter des données de performance, etc.

    Cette nouvelle version apporte l’ajout du support de Power BI Report Server.

    Télécharger Microsoft System Center Management Pack for SQL Server 2017+ Reporting Services

    • 22/1/2019

    [SCOM 2012/2016] Mise à jour (1.6.0.7) du Management Pack pour Microsoft Azure

    Microsoft vient de publier un nouveau pack d’administration ou Management Pack (MP) (1.6.0.7) pour Microsoft Azure. Pour rappel, System Center Operations Manager (SCOM) fait partie de la gamme System Center, il propose une supervision souple et évolutive de l’exploitation au niveau de toute l’entreprise, réduisant la complexité liée à l’administration d’un environnement informatique, et diminuant ainsi le coût d’exploitation. Ce logiciel permet une gestion complète des événements, des contrôles proactifs et des alertes, et assure une gestion des services de bout en bout. Il établit des analyses de tendance et des rapports, et contient une base de connaissances sur les applications et le système.

    Ce management pack fournit les fonctionnalités suivantes :

    • Découverte des services : Application Insights, Automation, Backup, Biztalk, Cloud Service, Data Factory, DocumentDB, Logic App, Media Services, Mobile Services, Networks, Notification Hubs, Operational Insights, Redis Cache, SCheduler, Search, Service Bus, SQL Azure, Storage Accounts, Traffic Manager, Virtual Machines, et Websites
    • Collecte de performance pour : Cloud Services, Data Factory, DocumentDB, Mobile Services, Redis Cache, SQL Azure, Virtual Machines, Websites

    Cette version comprend :

    • Correction d'un problème "Greyed Out" du Health Service lors du suivi d'un grand nombre d'alertes classiques.
    • Ajout d'une chaîne d'url à la description des alertes classiques pour les webtests
    • Mise à jour de la liste des problèmes connus dans le Guide
      • Problème d’analyse complète. Il n'est pas recommandé de cocher "Full scan" dans l'assistant. Tous les services requis seront disponibles prêts à l'emploi avec une configuration par défaut.
      • Problème d'erreur de collecte de données de performance avec un grand nombre d’instances

    Notez que ce pack d’administration nécessite System Center 2012 Service Pack 1 (SP1) – Operations Manager, System Center 2012 R2 Operations Manager ou System Center 2016 Operations Manager

    Télécharger Microsoft System Center 2016 Management Pack for Microsoft Azure

    • 21/1/2019

    [Intune] Empêcher l’utilisateur de lancer une réinitialisation du système (Factory Reset)

    Je vous propose dans ce billet de voir comment désactiver la fonctionnalité de réinitialisation du système (Factory Reset) présente nativement dans Windows 10. Cette fonctionnalité est accessible aux utilisateurs qui sont administrateurs de la machine. Certaines entreprises peuvent vouloir désactiver l’accès à la fonctionnalité pour éviter des erreurs.

    La fonctionnalité Reset this PC se trouve dans l’application Paramètres/Settings puis dans la partie Update & Security – Recovery.

    Le déploiement d’une stratégie MDM pour configurer le CSP adéquate est le seul moyen de véritablement bloquer l’accès à cette fonctionnalité. Ouvrez Microsoft Intune et naviguez dans Device Configuration. Créez un profil personnalisé (Custom) ou utilisez un profil personnalisé Windows 10 and later existant.

    1. Ajoutez un paramétrage OMA-URI.
    2. Spécifiez le nom (par exemple FactoryReset) et une description
    3. Renseignez l’OMA-URI suivant : ./Vendor/MSFT/PolicyManager/My/System/AllowUserToResetPhone
      Note : Bien que le paramétrage comprenne la mention Phone, ceci s’applique aussi aux postes de travail.
    4. Choisissez le type de données : Integer
    5. Spécifiez la valeur : 0

     

    Cliquez sur OK à deux reprises puis créez le profil.
    Assignez enfin le profil à une groupe comprenant les machines Windows 10 cible.

    Après chargement des stratégies sur les périphériques Windows 10 gérés, naviguez dans Paramètres/Settings puis dans la partie Update & Security – Recovery.
    Notez que l’option est toujours disponible dans l’interface. Si l’utilisateur tente d’accéder à la fonctionnalité, cette dernière lui demande le type de réinitialisation qu’il souhaite opérer.

     

    Quelque soit le scénario choisi, celui-ci affiche le message :
    We can’t reset this PC
    Your organization’s policy doesn’t allow it.
    For more info, talk to your support person or IT department.

     

    Note : Il n’existe pas de GPO pour désactiver ceci. Néanmoins la commande suivante reagentc.exe /disable permet de désactiver la fonctionnalité. Notez que cette commande n’est pas parfaite et peut cependant ne pas bloquer l’ensemble des scénarios. La meilleure méthode reste le CSP en mode MDM.

    • 21/1/2019

    [Azure AD] Ajout d’URLs utilisées pour l’authentification à Azure Active Directory

    Microsoft a publié un message dans l’Office Message Center à propos de l’ajout de nouvelles URL utilisées pour l’authentification sur le service Azure Active Directory. Ce changement impacte toutes les entreprises qui filtrent le trafic réseau (proxy, equipements, etc.) et utilisent une liste blanche d’URLs.Microsoft recommande de vérifier vos restrictions réseaux si vous avez basé l’ouverture des flux en fonction des URLs. Par exemple, Microsoft Intune utilise certaines plages Azure AD pour différentes étapes (Authentification, Accès aux services, etc.). Si vous ne mettez pas à jour vos configurations, les utilisateurs peuvent voir un impact.

    Microsoft utilisera maintenant les plages suivantes :

    • aadcdn.msauth.net
    • aadcdn.msftauth.net
    • ccscdn.msauth.net
    • ccscdn.msftauth.net

    Le changement est prévu au 22 février.

    • 20/1/2019

    [Azure] Un livre blanc sur la conformité et la résidence des données

    Microsoft vient de publier un livre blanc afin de donner des éléments de réponses et un guidage sur les questions de la sécurité, de la résidence des données, du flux de données et de la conformité dans Microsoft Azure. Le document est conçu pour aider les clients à s'assurer que les données de leurs clients sur Azure sont traitées d'une manière qui répond à leurs exigences de protection des données, de réglementation et de souveraineté.

    Télécharger Achieving compliant data residency and security with Azure

    • 19/1/2019

    Nouvelle Preview (1.45.32.0) du client Azure Information Protection

    Microsoft vient de publier une nouvelle Preview (1.45.32.0) du client pour son service Microsoft Azure Information Protection. Parmi les changements, on retrouve :

    • Le scanner Azure Information Protection est maintenant configuré à partir du portail Azure, plutôt qu'en utilisant PowerShell.
    • Si vous effectuez une mise à niveau à partir d'une version finale du scanneur, le processus de mise à niveau est différent des versions précédentes, assurez-vous donc de lire Upgrading the Azure Information Protection scanner. Si vous installez le scanner pour la première fois, plutôt que de le mettre à niveau, consultez la section Deploying the preview version of the Azure Information Protection scanner to automatically classify and protect files..
    • Si vous labelisez et protégez les fichiers en utilisant le cmdlet Set-AIPFileLabel, vous pouvez utiliser le paramètre EnableTracking pour enregistrer le fichier sur le site de suivi des documents.
    • Le scanner Azure Information Protection prend désormais en charge plusieurs bases de données de configuration sur la même instance de serveur SQL lorsque vous spécifiez un nom de profil.
    • Support des types d'informations sensibles suivants qui aident à identifier les informations d'identification dans les documents et les e-mails :
      • Azure Service Bus Connection String
      • Azure IoT Connection String
      • Azure Storage Account
      • Azure IAAS Database Connection String and Azure SQL Connection String
      • Azure Redis Cache Connection String
      • Azure SAS
      • SQL Server Connection String
      • Azure DocumentDB Auth Key
      • Azure Publish Setting Password
      • Azure Storage Account Key (Generic).
    • Les types d'informations sensibles suivants ne sont plus pris en charge pour les labels que vous configurez pour la classification recommandée ou automatique :
      • Numéro de téléphone de l'UE
      • Coordonnées GPS de l'UE
    • Comme le scanner Azure Information Protection est configuré depuis le portail Azure, les cmdlets suivants sont désormais obsolètes et ne peuvent pas être utilisés pour configurer les référentiels de données ou la liste des types de fichiers : Add-AIPScannerRepository, Add-AIPScannerScannedFileTypes, Get-AIPScannerRepository, Remove-AIPScannerRepository, Remove-AIPScannerScannedFileTypes, Set-AIPScannerRepository, Set-AIPScannerScannedFileTypes
    • Une nouvelle cmdlet PowerShell, Import-AIPScannerConfiguration est disponible, pour les scénarios où le scanner Azure Information Protection ne peut télécharger sa configuration depuis le portail Azure.
    • Le scanner Azure Information Protection n'exclut plus les fichiers.zip par défaut. Pour inspecter et labéliser les fichiers.zip.
    • Les utilisateurs doivent fournir une justification pour définir un label de classification inférieure, supprimer un label ou supprimer la protection ne s'applique plus au scanner. Le scanner exécute ces actions lorsque vous configurez le paramètre Relabel files to On dans le profil du scanner.

     

    On retrouve plusieurs correctifs importants :

    • De nouveaux marquages visuels sont systématiquement appliqués lorsqu'un utilisateur ajoute de nouvelles sections à un document Word, puis relabelise le document.
    • Le client Azure Information Protection supprime correctement la protection d'un document PDF protégé par l'application Rights Management Sharing.
    • Les chemins et les noms de fichiers n'affichent pas de points d'interrogation ( ?) au lieu de caractères non ASCII dans les analyses Azure Information Protection lorsque la locale du système d'exploitation émetteur est en anglais.
    • Les sous-labels sont correctement appliqués par PowerShell et le scanner lorsque le label parent est configuré pour les autorisations définies par l'utilisateur.
    • Le client Azure Information Protection affiche correctement les labels qui ont été appliqués par les clients qui supportent l’unified labeling.
    • Les documents s'ouvrent correctement dans Office sans message de récupération après suppression de la protection par l'Explorateur de fichiers et clic droit, PowerShell et le scanner.


    Télécharger Azure Information Protection Client Preview

    • 19/1/2019

    [SCCM/Intune] De la documentation pour vous expliquer le Co-Management

    Microsoft a publié une nouvelle page dans sa documentation pour montrer les avantages du Co-Management de machines Windows 10 entre System Center Configuration Manager et Microsoft Intune.  Pour rappel, Cette fonctionnalité permet de gérer des périphériques Windows 10 à la fois avec le client ConfigMgr mais aussi en mode moderne avec Microsoft Intune (Standalone). Vous pouvez ainsi choisir quelles sont les fonctionnalités que vous souhaitez gérer avec quel mode (traditionnel ou moderne). Pour l’instant, vous pouvez gérer les stratégies de conformité et les stratégies Windows Update for Business, etc..

    On retrouve des vidéos sur :

    • L’accès conditionnel
    • Les actions à distance depuis Intune
    • L’état de santé des clients
    • L’Hybrid Azure AD
    • Windows Autopilot

     

    Mais aussi des éléments sur :

     

    Lire : Cloud connecting with co-management

    • 18/1/2019

    [Intune] Changement de comportement sur le paramètre de changement de mot de passe pour macOS

    Microsoft vient d’annoncer par le Microsoft Office Center que Microsoft Intune allait intégrer un changement de comportement pour un paramétrage applicable aux machines macOS gérées. Microsoft Intune va donc intégrer le paramétrage « Change Password at Next Auth » introduit par Apple pour les versions de macOS 10.14.2 ou plus.

    Ceci a un impact sur vous si vous avez ou prévoyez d'avoir des périphériques fonctionnants sous macOS 10.14.2 et plus. Intune peut forcer les utilisateurs à mettre à jour leur mot de passe pour qu'il soit conforme lorsqu'une stratégie de mot de passe est appliquée. Vos utilisateurs macOS recevront une demande de mise à jour de leur mot de passe lorsque nous intégrerons cette nouvelle fonctionnalité Apple, même si leur mot de passe est déjà conforme. Notez que si un mot de passe est déjà conforme et que vous n'avez pas d'exigence contre la répétition des mots de passe, les utilisateurs pourront alors mettre à jour leur mot de passe existant.

    Si vous bloquez les ressources de l'entreprise jusqu'à ce que le périphérique soit marqué conforme, sachez que vos utilisateurs finaux sur les périphériques avec macOS 10.14.2 peuvent être bloqués pour accéder aux ressources de l'entreprise telles que les sites de messagerie ou SharePoint jusqu'à ce qu'ils réinitialisent leur mot de passe. À l'avenir, toutes les mises à jour des stratégies de configuration et de conformité des mots de passe obligeront les utilisateurs ciblés à mettre à jour leurs mots de passe.

    Le changement est attendu pour février 2019

    • 18/1/2019

    [Windows 10] Cacher/afficher des mises à jour

    Vous avez peut-être déjà eu le cas d’une mise à jour qui s’installe de manière récurrente ou que vous ne souhaitez tout simplement pas installer. Avec Windows 7, il était possible de cacher des mises à jour depuis le panneau de configuration (Windows Update). Avec Windows 10 et l’applications Paramétrages/Settings, ce n’est plus possible nativement.

    Vous pouvez cependant utiliser la procédure suivante :

    1. Accédez à l’article KB4026726 et téléchargez le dépanneur
    2. Exécutez le fichier.
    3. Passez la première page et laissez la détection s’opérer
    4. Sur l’écran suivant, choisissez si vous souhaitez cacher une mise à jour ou afficher une mise à jour précédemment cachée.

    1. Sélectionnez ensuite la mise à jour que vous souhaitez cacher/afficher

    1. Validez que l’opération a réussi et fermez l’écran final.

    • 17/1/2019

    Nouvelle Preview (1.2019.110.0) de l’outil de packaging MSIX

    Microsoft peaufine son outil de packaging et vient de mettre à disposition une nouvelle préversion (1.2019.110.0) de l’outil de packaging MSIX (MSIX Packing Tool) depuis le Microsoft Store. Cet outil permet de prendre un package d’application Win32 existant et de la convertir au format MSIX. Vous utilisez pour cela une machine de référence pour exécuter l’outil et obtenir le package MSIX que vous pouvez ensuite déployer à la main, par votre outil de télédistribution ou depuis le Microsoft Store.

    Pour rappel, le format MSIX est un nouveau format standardisé lancé par Microsoft pour remplacer l’ensemble des formats de packaging existants tout en bénéficiant des avancés des différentes solutions : Click-To-Run (C2R), App-V, APPX et plus généralement du Framework d’applications universelles (UWP). Il offre donc des mécanismes de conteneurisation et les bénéfices des applications universelles avec une installation, mise à jour et désinstallation aisée sans laisser aucune trace sur le système. Il fournit aussi des mécanismes de sécurisation avancés permettant de valider l’intégrité du code exécuté. Ce format permet aussi de créer des personnalisations pour les applications packagées et de les faire perdurer au travers des différentes mises à jour de l’application.

    Cette préversion ajoute les fonctionnalités :

    • Amélioration du temps de packaging
    • Mise à jour de la liste d'exclusion des fichiers par défaut
    • Intégration des journaux d'erreurs MSIExec dans les outils de rapports
    • Mise à jour des journaux pour ajouter plus de clarté et des étapes de dépannage
    • Ajout du support de la capture d'installation à partir de PowerShell ISE pendant le packaging manuel
    • Ajout du support pour déclarer les scripts PowerShell comme argument d'installation dans l'interface utilisateur et dans le fichier modèle de ligne de commande.
    • Ajout d'un indicateur de journalisation Verbose (--verbose | -v) pour l'interface de ligne de commande
    • Correction d'un problème où les chemins réseau sur la VM étaient parfois inaccessibles
    • Correction d'un problème où la validation des exigences de version du Store échouait lors de l'utilisation de la ligne de commande.
    • Correction d'un problème où les chemins d'accès aux fichiers entre guillemets n'étaient pas acceptés
    • Correction d'un problème où la VM n'était pas nettoyée correctement après la conversion
    • Correction d'un problème où l'ajout de fichiers aux packages dans l'éditeur de packages ne fonctionnait pas correctement
    • Nettoyage de l'interface utilisateur

    Pour accéder à l’outil, vous devez :

    • Participer au programme Windows Insider Fast ou Slow Ring
    • Avoir Windows 10 17701 ou plus
    • Avoir les droits d’administrateur sur la machine
    • Avoir un compte Microsoft pour accéder au Microsoft Store.

    Plus d’informations sur : MSIX Packaging Tool (Preview) is now available from the Microsoft Store

    Plus d'éléments sur le format MSIX sur MSIX Intro

    Télécharger MSIX Packing Tool