• [Azure] Microsoft répond à vos questions Azure Site Recovery

    Microsoft va proposer un événement de questions/réponses sur le service Azure Site Recovery. Cet évènement aura lieu le mardi 22 janvier de 17h30 à 19h (heure française). Ask Microsoft Anything est une belle opportunité pour poser des questions sur Azure Site Recovery en obtenant une réponse directe. Cette session se tient sur Twitter avec les comptes @AzSiteRecovery ou @AzureSupport avec le hashtag #ASR_AMA.

    Plus d’informations sur : https://azure.microsoft.com/en-us/blog/azure-site-recovery-twitter-ama/  

  • [SQL Server] Un Webinar sur SQL Server 2019

    Microsoft a mis à disposition un webinar sur les nouveautés apportées par SQL Server 2019. Il sera dirigé par Debbi Lyons (Senior Product Marketing Manager), Travis Wright (Principal Program Manager) et Bob Ward (Principal Architect) afin de parler des clusters bit data (Apache Spark et HDFS), de l’amélioration du moteur pour passer moins de temps à personnaliser les requêtes avec un traitement intelligent et enfin le support du langage Java.

    Pour le consulter : https://info.microsoft.com/ww-ondemand-intro-sql-server-2019.html

    Plus d’informations : https://cloudblogs.microsoft.com/sqlserver/2019/01/15/webinar-introduction-to-sql-server-2019/

  • Les nouvelles certifications Microsoft 365 sur la collaboration (MS-300, MS-301 et MS-302)

    Microsoft revoit en profondeur son programme de certifications avec une longue série de nouvelles certifications. Microsoft vient d’annoncer l’arrivée de nouvelles certifications pour Microsoft 365 sur le thème de la collaboration (Teamwork). :

    La certification MS-302: Microsoft 365 Teamwork Administrator Certification Transition permet de faire de transition à partir de la 70-339 Managing Microsoft SharePoint Server 2016

    Voici les différents éléments évalués en détail :

    MS-300: Deploying Microsoft 365 Teamwork

    • Configurer et Gérer SharePoint Online (35-40%)
      • Planifier et configurer les collections de site et sites hub
      • Planifier et configurer les personnalisations et applications
      • Planifier et configurer les métadonnées gérées
      • Planifier et configurer les accès invités
      • Gérer SharePoint Online
      • Gérer la recherche
      • Superviser et maintenir le service SharePoint Online
    • Configurer et Gérer OneDrive for Business (25-30%)
      • Configurer et gérer OneDrive for Business
      • Gérer les utilisateurs et les groupes
      • Gérer le partage et la sécurité
      • Gérer la sécurité de la synchronisation
      • Superviser et maintenir le service OneDrive
    • Configurer et Gérer Teams (20-25 %)
      • Planifier et gérer les paramétrages Teams
      • Planifier l’identité et l’authentification pour Teams
      • Gérer l’environnement Teams
      • Superviser et maintenir le service Teams
    • Configurer et gérer l’intégration des charges de travail (15-20%)
      • Intégrer les charges de travail Microsoft 365
      • Gérer les fonctionnalités de Yammer
      • Gérer les fonctionnalités Stream
      • Intégrer les charges de travail Microsoft 365 avec les systèmes et données externes

    MS-301: Deploying SharePoint Server Hybrid

    • Configurer et Gérer SharePoint On-Premises (55-50%)
      • Planifier une ferme SharePoint
      • Gérer et maintenir une ferme SharePoint
      • Implémenter l’authentification
      • Gérer les collections de site
      • Planifier et configurer Business Connectivity Services (BSC) et Secure Store
      • Planifier et configurer les métadonnées gérées
      • Gérer la recherche
    • Configurer et Gérer les scénarios hybrides (30-35%)
      • Planifier une topologie et configuration hybride
      • Implémenter des artefacts de travail en équipe hybride.
      • Implémenter une application Search Service hybride
      • Implémenter une passerelle de données
    • Migrer vers SharePoint Online (5-10%)
      • Migrer les données et le contenu

     

    Des codes de passage (MS500LibertyHikes) sont disponibles pour les 300 premiers afin de recevoir une réduction de 80%. :

    • MS-300 : MS300Season
    • MS-301 : MS300Rocks
    • MS-302 : MS302TravelKLS

    Les certifications doivent être passées avant le 15 février 2019. 

    Source : https://www.microsoft.com/en-us/learning/community-blog-post.aspx?BlogId=8&Id=375195

  • [AIP] La version 1.41.51.0 du client et du scanneur Azure Information Protection est sur Windows Update

    Microsoft vient de publier la version 1.41.51.0 du client Azure Information Protection sur Windows Update.

    Elle ajoute les éléments suivants :

    • Par défaut, le client Azure Information Protection protège désormais les fichiers PDF en utilisant la norme ISO pour le chiffrement des PDF. Auparavant, vous deviez activer cette prise en charge avec un paramétrage client avancé. Si vous voulez que le client revienne à la protection des fichiers PDF en utilisant une extension de nom de fichier.ppdf, utiliser le même paramètre client avancé, mais spécifier False.
    • Support du reporting central pour la fonctionnalité d'analyse Azure Information Protection annoncée à l'Ignite.
    • Excel supporte désormais également les marquages visuels de différentes couleurs.
    • Pour les déploiements S/MIME existants, un nouveau paramètre client avancé (en préversion) pour configurer un label afin d'appliquer automatiquement la protection S/MIME dans Outlook.
    • Un nouveau paramètre client avancé, comme alternative à l'édition du registre pour empêcher les ouvertures de session pour le service Azure Information Protection pour les ordinateurs déconnectés.

     

    Elle ajoute les correctifs suivants :

    • Le client Azure Information Protection n'exclut plus les extensions de noms de fichiers.msg,.rar et.zip pour les commandes File Explorer (clic droit) et PowerShell. Toutefois, ces extensions de nom de fichier restent exclues par défaut pour le scanner.
    • Le client Azure Information Protection peut déprotéger plusieurs fichiers (multi-sélection et un dossier qui contient des fichiers protégés) lorsque vous utilisez l'Explorateur de fichiers, faites un clic droit.
    • Pour Excel :
      • Des repères visuels sont maintenant appliqués si vous sauvegardez la feuille de calcul pendant l'édition d'une cellule.
      • Excel 2010 : Lorsqu'une feuille de calcul est protégée en utilisant le niveau d'autorisation Co-Author, le bouton Delete Label est maintenant disponible lorsque vous cliquez avec le bouton droit de la souris sur le fichier et choisissez Classify and Protect.
    • Les paramètres avancés du client qui peuvent supprimer les en-têtes et les pieds de page d'autres solutions d'étiquetage prennent désormais en charge les mises en page personnalisées.
    • Lorsque la programmation du scanner est réglée sur Always, il y a maintenant un délai de 30 secondes entre les scans.
    • Le scanner ne modifie plus le propriétaire pour les fichiers qu'il étiquette lorsque le fichier est déjà protégé.

    Télécharger Microsoft Azure Information Protection

  • [SCCM/WSUS] Les synchronisations peuvent échouer de manière intermittente

    Microsoft a publié un article concernant un problème pouvant toucher WSUS en mode autonome ou WSUS couplé à System Center Configuration Manager. Dans ces cas de figures, la synchronisation peut échouer sans raison apparente et de manière aléatoire.

    On retrouve les informations suivantes dans le fichier wsyncmgr.log :

    MM/dd/YYYY HH:mm:ss PM Synchronizing WSUS server contoso1.contoso.com ...

    MM/dd/YYYY HH:mm:ss PM sync: Starting WSUS synchronization

    MM/dd/YYYY HH:mm:ss PM sync: WSUS synchronizing categories

    MM/dd/YYYY HH:mm:ss PM sync: WSUS synchronizing updates

    MM/dd/YYYY HH:mm:ss PM Caught exception: Microsoft.SystemsManagementServer.SoftwareUpdatesManagement.WsusSyncAction.WsysSyncFailedException: ImportUpdateError: ~~ at Microsoft.SystemsManagementServer.SoftwareUpdatesManagement.WsusSyncAction.WSyncAction.SyncWSUS(SyncMode syncMode)~~ at Microsoft.SystemsManagementServer.SoftwareUpdatesManagement.WsusSyncAction.WSyncAction.DoSync()

    MM/dd/YYYY HH:mm:ss PM Sync done. Getting sync info...

    MM/dd/YYYY HH:mm:ss PM Got sync info. NumSynced = 0

    MM/dd/YYYY HH:mm:ss PM Sync failed: ImportUpdateError: . Source: Microsoft.SystemsManagementServer.SoftwareUpdatesManagement.WsusSyncAction.WSyncAction.SyncWSUS

    MM/dd/YYYY HH:mm:ss PM STATMSG: ID=6703 SEV=E LEV=M SOURCE="SMS Server" COMP="SMS_WSUS_SYNC_MANAGER" SYS=CONTOSO1.CONTOSO.COM SITE=NEW PID=3196 TID=7588 GMTDATE=Day Mon dd HH:mm:ss.ssss YYYY ISTR0="Microsoft.SystemsManagementServer.SoftwareUpdatesManagement.WsusSyncAction.WSyncAction.SyncWSUS" ISTR1="ImportUpdateError: " ISTR2="" ISTR3="" ISTR4="" ISTR5="" ISTR6="" ISTR7="" ISTR8="" ISTR9="" NUMATTRS=0

    MM/dd/YYYY HH:mm:ss PM Sync failed. Will retry in 60 minutes

    On retrouve aussi des erreurs dans le fichier SoftwareDistribution.log :

    YYYY-MM-dd HH:mm:ss.sss UTC Error WsusService.42 CatalogSyncAgentCore.GetAndSaveUpdateMetadata 2 update(s) could not be imported into the local db even with retry

    YYYY-MM-dd HH:mm:ss.sss UTC Error WsusService.42 CatalogSyncAgentCore.GetAndSaveUpdateMetadata Bad Update Revision #0: b55a761f-98c3-4e8f-be39-9dcfd35ceefc/201

    YYYY-MM-dd HH:mm:ss.sss UTC Error WsusService.42 CatalogSyncAgentCore.GetAndSaveUpdateMetadata Bad Update Revision #1: e0dd10bf-612b-4524-b382-9655a5ee7d6e/200

    YYYY-MM-dd HH:mm:ss.sss UTC Info WsusService.42 CatalogSyncAgentCore.UpdateSyncResultAndGenerateReportingEvent CatalogSyncThreadProcess: report subscription One or more updates failed to import to local database.

    YYYY-MM-dd HH:mm:ss.sss UTC Info WsusService.42 EventLogEventReporter.ReportEvent EventId=386,Type=Error,Category=Synchronization,Message=Synchronization failed. Reason: System.Data.SqlClient.SqlException (0x80131904): Cannot insert the value NULL into column 'RevisionID', table '@AtLeastOneBundle'; column does not allow nulls. INSERT fails.

    Error loading information from upd:BundledUpdates/upd:AtLeastOne/upd:UpdateIdentity for updateB55A761F-98C3-4E8F-BE39-9DCFD35CEEFC\201. Some update revisions in bundle information are not already present in the database.

    Dans la console WSUS, vous pouvez voir des erreurs de synchronisation avec comme message : A dependency of the update was not found on the server and was not provided by the upstream server.

    La cause principale n’est pas encore connue. Microsoft recommande la réexécution de la synchronisation qui doit pouvoir importer les mises à jour de définition en échec.

    Plus d’informations sur : Windows Server Update Service (WSUS) to Microsoft Update sync fails

  • [Windows 7] Problème d’activation et notifications pour des clients KMS licenciés en volume

    Microsoft a publié un article dans la base de connaissances concernant un problème qui pouvait survenir pour des entreprises utilisant encore Windows 7. Ce dernier concerne l’activation. Des utilisateurs peuvent alors recevoir un message spécifiant que Windows n’est pas original (Windows is not Genuine). Un watermark peut être aussi présent en bas à droite de l’écran pour spécifier que la version n’est pas originale.

    Si vous vérifiez l’état d’activation de la machine via la commande slmgr /dlv, vous pouvez voir :

    Name: Windows(R) 7, Enterprise edition
    Description: Windows Operating System - Windows(R) 7, VOLUME_KMSCLIENT channel
    Activation ID: ae2ee509-1b34-41c0-acb7-6d4650168915
    Application ID: 55c92734-d682-4d71-983e-d6ec3f16059f
    Extended PID: <removed>
    Installation ID: <removed>
    Partial Product Key: HVTHH
    License Status: Notification
    Notification Reason: 0xC004F200 (non-genuine).
    Remaining Windows rearm count: 2
    Trusted time: <removed>
    Please use slmgr.vbs /ato to activate and update KMS client information in order to update values.

    On retrouve l’écriture d’événément 8209, 8208, 13 et 8196 dans le journal d’applications.

    Ceci survient car Microsoft a opéré un changement le 8 janvier à 10h (UTC) puis est revenu sur le changement le 9 janvier à 4h30 (UTC). Pour résoudre le problème, vous devez supprimer la KB 971033 des machines concernées et qui sont équipées des éditions suivantes : Windows 7 Professional, Windows 7 Professional N, Windows 7 Professional E, Windows 7 Enterprise, Windows 7 Enterprise N, et Windows 7 Enterprise E.

    Vous pouvez consulter l’article suivant pour obtenir la procédure à suivre pour désinstaller cette mise à jour sur les machines posant problème : Activation failures and "not genuine" notifications around January 8, 2019, on volume-licensed Windows 7 KMS clients

  • [Intune] Les nouveautés de ce début Janvier 2019

    Microsoft vient d’annoncer la mise à disposition d’un nouvel ensemble de fonctionnalités pour Microsoft Intune.

    Les fonctionnalités suivantes sont ajoutées :

    Enregistrement des périphériques

    • [Général] Des messages d'erreur plus détaillés sont disponibles lorsque les restrictions d’enregistrement ne sont pas respectées. Pour voir ces messages, allez dans Intune > Troubleshoot > et vérifier le tableau Enrollment Failures. Pour plus d'informations, voir la liste des échecs d’enregistrement.

    • [iOS] Passer plus d'écrans de l'assistant de configuration sur un périphérique iOS DEP. En plus des écrans que vous pouvez actuellement ignorer, vous pouvez configurer les périphériques iOS DEP pour qu'ils sautent les écrans suivants dans l'Assistant de configuration lorsqu'un utilisateur enregistre le périphérique : Display Tone, Privacy, Android Migration, Home Button, iMessage & FaceTime, Onboarding, Watch Migration, Appearance, Screen Time, Software Update, SIM Setup. Pour choisir les écrans à sauter, allez dans Device enrollment > Apple enrollment > Enrollment program tokens > choisissez un token > Profiles > choisissez un profil > Properties > Setup Assistant customization > choisissez Hide pour tous les écrans que vous voulez sauter > OK.

     

    Configuration du périphérique

    • [Général] Cette mise à jour inclut le chiffrement des e-mails S/MIME à l'aide d'un nouveau modèle de certificat importé (Device configuration > Profiles > Create profile > sélectionner la plate-forme > Type de profil PKCS imported certificate). Vous pouvez importer des certificats au format PFX. Intune peut alors délivrer ces mêmes certificats à plusieurs périphériques enregistrés par un seul utilisateur. Ceci inclut également :
      • Le profil de messagerie iOS natif prend en charge l'activation du chiffrement S/MIME à l'aide de certificats importés au format PFX.
      • L'application de messagerie native sur les périphériques Windows Phone 10 utilise automatiquement le certificat S/MIME.
      • Les certificats privés peuvent être déployés sur plusieurs plates-formes. Mais toutes les applications de messagerie ne prennent pas en charge S/MIME.
      • Sur d'autres plates-formes, vous devrez peut-être configurer manuellement l'application de messagerie pour activer S/MIME.
      • Les applications de messagerie qui prennent en charge le chiffrement S/MIME peuvent gérer la récupération des certificats pour le chiffrement de messagerie S/MIME d'une manière qu'un MDM ne peut pas prendre en charge, comme la lecture depuis la liste de certificats de leur éditeur. Pour plus d'informations sur cette fonctionnalité, voir l’article suivant.

    • [Windows 10] Public Preview des modèles d’administration (ADMX) pour les périphériques Windows 10. Ces derniers ont été déplacé dans un profil de configuration dédié Device configuration > Administrative templates. Ils ne fournissent pas moins de 300 paramétrages ADMX qui peuvent gérés dans Intune sans avoir à créer des stratégies ADMX-backed. Note : pour l’instant, ces derniers ne s’appliquent qu’en mode autonome. Microsoft travaille pour qu’ils puissent être appliqués sur des machines co-gérés.

    • [Windows 10] Sur les périphériques Windows 10, vous pouvez créer un profil de configuration VPN qui inclut une liste de serveurs DNS pour résoudre les domaines, tels que contoso.com. Cette mise à jour inclut de nouveaux paramètres pour la résolution des noms (Device configuration > Profiles > Create profile > Choisir Windows 10 and later > Choisir VPN pour le type de profil > DNS settings > Add) :
      • Automatically connect : Lorsqu'il est activé, l'appareil se connecte automatiquement au VPN lorsqu'un appareil contacte un domaine que vous entrez, tel que contoso.com.
      • Persistent : Par défaut, toutes les règles de la table Name Resolution Policy (NRPT) sont actives tant que le périphérique est connecté en utilisant ce profil VPN. Lorsque ce paramètre est activé sur une règle NRPT, la règle reste active sur le périphérique, même lorsque le VPN se déconnecte. La règle reste en vigueur jusqu'à ce que le profil VPN soit supprimé ou jusqu'à ce que la règle soit supprimée manuellement, ce qui peut être fait avec PowerShell.

    • [Windows 10] Lorsque vous utilisez la détection de réseau de confiance, vous pouvez empêcher les profils VPN de créer automatiquement une connexion VPN lorsque l'utilisateur est déjà sur un réseau de confiance. Avec cette mise à jour, vous pouvez ajouter des suffixes DNS pour activer la détection d'un réseau de confiance sur les périphériques fonctionnant sous Windows 10 (Device configuration > Profiles > Create profile > Windows 10 and later > VPN).
    • [Wndows 10] Actuellement, vous pouvez configurer les paramètres Shared PC sous Windows 10 et Windows Holographic pour les périphériques d’entreprise en utilisant un paramètre OMA-URI personnalisé. Avec cette mise à jour, un nouveau profil est ajouté pour configurer les paramètres Shared Device (Device configuration > Profiles > Create Profile > Windows 10 and later > Shared multi-user device).

    • [Windows 10] Pour les paramètres de diffusion de mises à jour Windows 10 (Windows 10 Update Rings), vous pouvez configurer :
      • Automatic update behavior : Utilisez une nouvelle option, Reset to default pour restaurer les paramètres de mise à jour automatique d'origine sur une machine Windows 10 1809.
      • Block user from pausing Windows updates : Configurez un nouveau paramètre de mise à jour du logiciel qui vous permet de bloquer ou d'autoriser vos utilisateurs à interrompre l'installation des mises à jour à partir des paramètres de leur ordinateur.

    • [Windows 10] Vous pouvez créer un profil de configuration qui définit les paramètres de gestion de BitLocker sur les périphériques Windows 10 Professional. Plus d’informations sur : Endpoint protection settings for Windows 10.
    • [Windows 10] Cette mise à jour inclut un nouveau paramètre pour gérer la possibilité d’arrêter des processus à l'aide du Gestionnaire de tâches (task manager) sur les périphériques Windows 10. A l'aide d'un profil de configuration de périphérique (Device configuration > Profiles > Create profile > Windows 10 > Device restrictions > General settings), vous choisissez d'autoriser ou de bloquer ce paramètre.

    • [iOS] Vous pouvez créer un profil email qui inclut différents paramètres. Cette mise à jour inclut les paramètres S/MIME qui peuvent être utilisés pour signer et chiffrer les communications électroniques sur les périphériques iOS (Device configuration > Profiles > Create profile > iOS > Email).
    • [iOS] La configuration des périphériques partagés est renommée en Lock Screen Message pour les périphériques iOS dans le portail Azure. Lorsque vous créez un profil de configuration pour les périphériques iOS, vous pouvez ajouter des paramètres de configuration de périphérique partagé pour afficher un texte spécifique sur l'écran de verrouillage. Cette mise à jour comprend les changements suivants :
      • Les paramètres de configuration du périphérique partagé dans le portail Azure sont renommés en "Lock Screen Message (supervised only)" (Device configuration > Profiles > Create profile > iOS > Device features > Lock Screen Message).
      • Lorsque vous ajoutez des messages de verrouillage d'écran, vous pouvez insérer un numéro de série, un nom de périphérique ou une autre valeur spécifique au péripéhrique en tant que variable dans les informations d'Asset tag et Lock screen footnote. Par exemple, vous pouvez entrer le nom du dispositif : {{devicename}}} ou le numéro de série est {{serialnumber}} en utilisant des crochets bouclés. Les listes de tokens iOS disponibles qui peuvent être utilisés.

    • [iOS] Dans Device Configuration > Profiles > Create profile > iOS > Device restrictions > App Store, Doc Viewing, Gaming, les paramètres suivants sont ajoutés :
      • Allow managed apps to write contacts to unmanaged contacts accounts (supervised only)
      • Allow unmanaged apps to read from managed contacts accounts (supervised only)

    • [Android] Cette mise à jour inclut plusieurs nouvelles fonctionnalités sur les péripéhriques Android Enterprise lorsqu'ils fonctionnent en tant que device owner. Pour utiliser ces fonctions, allez dans Device Configuration > Profiles > Create profile > Android Enterprise > Device owner only > Device Restrictions. Les nouvelles fonctionnalités incluent :
      • Désactiver l'affichage des notifications système, y compris les appels entrants, les alertes système, les erreurs système, etc.
      • Suggère de passer les tutoriels de démarrage et les conseils pour les applications qui s'ouvrent pour la première fois.
      • Désactiver les paramètres avancés de la protection du clavier, tels que l'appareil photo, les notifications, le déverrouillage des empreintes digitales, etc.

    • [Android] Dans cette mise à jour, vous pouvez utiliser des connexions VPN permanentes sur les périphériques Android Enterprise en mode device owner. Les connexions VPN toujours actives restent connectées ou se reconnectent immédiatement lorsque l'utilisateur déverrouille son appareil, lorsque l'appareil redémarre ou lorsque le réseau sans fil change. Vous pouvez également mettre la connexion en mode "lockdown", qui bloque tout le trafic réseau jusqu'à ce que la connexion VPN soit active. Vous pouvez activer le VPN Always-on dans Device configuration > Profiles > Create profile > Android enterprise > Device restrictions for Device Owner Only > Connectivity settings.

     

     

    Gestion des applications

    • [Android/iOS] Vous pouvez maintenant configurer le nombre de jours pendant lesquels un utilisateur final peut attendre avant qu’on lui demander de modifier son code PIN d'application Intune. Le nouveau paramètre PIN reset after number of days est disponible en sélectionnant Intune > Client apps > App protection policies > Create Policy > Settings > Access requirements. Cela peut s’appliquer pour les appareils iOS et Android, cette fonctionnalité supporte une valeur entière positive.

    • [Android/iOS] Intune fournit des champs de rapport supplémentaires sur les périphériques, y compris l'Identifiant d'enregistrement de l'application, le fabricant Android, le modèle et la version du correctif de sécurité, ainsi que le modèle iOS. Ces champs sont disponibles en sélectionnant Applications Client apps > App protection status et en choisissant App Protection Report: iOS, Android. De plus, ces paramètres vous aideront à configurer la liste d'autorisation pour le fabricant de l'appareil (Android), la liste d'autorisation pour le modèle de l'appareil (Android et iOS), et le réglage minimum de la version du patch de sécurité Android.

     

    Supervision et Dépannage

    • [Général] Une nouvelle page d’état du tenant fournit des informations détaillées sur votre tenant selon 4 catégories :
      • Tenant Details - Affiche des informations qui comprennent le nom et l'emplacement de votre tenant, votre autorité MDM, le nombre total d'appareils inscrits dans votre tenant et le nombre de licences que vous détenez. Cette section répertorie également la version de service actuelle pour votre tenant.
      • Connector Status - Affiche des informations sur les connecteurs disponibles que vous avez configurés et peut également lister ceux que vous n'avez pas encore activés. En fonction de l'état actuel de chaque connecteur, ils sont marqués comme sains, en avertissement ou en erreur. Sélectionnez un connecteur pour obtenir plus de détails ou configurer des informations supplémentaires à son sujet.
      • Intune Service Health - Affiche des détails sur les incidents ou les pannes actifs pour votre tenant. Les informations contenues dans cette section sont directement extraites de l'Office Message Center.
      • Intune News - Affiche des messages actifs pour votre tenant. Les messages comprennent des éléments tels que les notifications lorsque votre tenant reçoit les dernières fonctionnalités d'Intune. Les informations contenues dans cette section sont directement extraites de l'Office Message Center.

    • [Général] Nouvelle expérience d'aide et de support pour Intune. Cette nouvelle expérience est disponible pour Intune et est accessible en utilisant les tuiles Intune du portail Azure. Cette nouvelle expérience vous permet de décrire votre problème dans vos propres mots et d'obtenir des conseils de dépannage et du contenu de remédiation sur le Web. Ces solutions sont proposées via un algorithme machine learning basé sur des règles, pilotés par les requêtes des utilisateurs. En plus des conseils spécifiques à un problème, vous pouvez utiliser le nouveau workflow de création de ticket pour ouvrir un ticket d'assistance par e-mail ou par téléphone. Cette nouvelle expérience remplace l'expérience précédente d'aide et de support d'un ensemble statique d'options présélectionnées qui sont basées sur la zone de la console dans laquelle vous vous trouvez lorsque vous ouvrez Aide et support.
    • [Windows 10] Nouvelle expérience d'aide et support dans le portail d'entreprise pour Windows 10, aide les utilisateurs à dépanner et à demander de l'aide pour les problèmes d'accès et d'application. À partir de la nouvelle page, ils peuvent envoyer par email les détails du journal des erreurs et du diagnostic et trouver les détails du service d'assistance de leur organisation. Ils trouveront également une section FAQ avec des liens vers la documentation Intune correspondante.

    Sécurité

    • [Général] Vous pouvez créer des scope tags pour limiter l'accès aux rôles et aux applications. Vous pouvez ajouter un scope tag à une application pour que seules les personnes ayant des rôles assignés à ce scope tag aient accès à l'application.

     

    Plus d’informations sur : https://docs.microsoft.com/en-us/intune/whats-new

  • [Intune] Les nouveautés du mois de décembre 2018

    Voici un tour d’horizon des annonces et nouvelles fonctionnalités pour Microsoft Intune pour le mois de décembre 2018. Il y a peu de fonctionnalités car ce mois est principalement dédié aux fêtes de fin d’année.

    Les fonctionnalités suivantes sont ajoutées :

    Enregistrement des périphériques

    • [macOS] Intune nécessite maintenant macOS version 10.12 ou plus. Les périphériques utilisant des versions antérieures de macOS ne peuvent pas utiliser le portail d'entreprise pour s’enregistrer à Intune. Pour recevoir du support et de nouvelles fonctionnalités, les utilisateurs doivent mettre à niveau leur appareil vers macOS 10.12 ou une version ultérieure et mettre à niveau le Portail d'entreprise vers la dernière version.
    • [macOS] Pour continuer à recevoir les mises à jour pour le portail de l'entreprise et d'autres applications Office, les périphériques macOS gérés par Intune doivent être mis à niveau vers Microsoft Auto Update 4.5.0. Les utilisateurs peuvent déjà avoir cette version pour leurs applications Office. 

    Gestion des applications

    • [macOS/iOS] Microsoft Intune supporte Transport Layer Security (TLS) 1.2+ pour fournir un meilleur chiffrement et pour s'assurer que Intune est plus sécurisé par défaut et pour s'aligner avec les autres services Microsoft tels que Microsoft Office 365. Afin de répondre à cette exigence, les portails d'entreprise iOS et macOS appliqueront les exigences mises à jour d'Apple en matière de sécurité du transport des applications (ATS), qui exigent également TLS 1.2+. ATS est utilisé pour appliquer une sécurité plus stricte sur toutes les communications applicatives via HTTPS. Ce changement a un impact sur les clients Intune qui utilisent le portail d’entreprise pour iOS et macOS. Voici des informations supplémentaires.
    • [Android] Le SDK Intune App pour Android utilise désormais des clés de chiffrement 256 bits lorsque le chiffrement est activé par les stratégies de protection d'application. Le SDK continuera à prendre en charge les clés 128 bits pour assurer la compatibilité avec le contenu et les applications qui utilisent les anciennes versions du SDK.

      

    Plus d’informations sur : https://docs.microsoft.com/en-us/intune/whats-new

  • Rollup 25 disponible pour Exchange Server 2010 SP3

    L’équipe Exchange vient de publier le 25ème Rollup (KB4468742) pour Exchange Server 2010 SP3 (version 14.03.0435.000).

    Il corrige la vulnérabilité suivante : Microsoft Common Vulnerabilities and Exposures CVE-2019-0588

    Une vulnérabilité de divulgation d'informations existe lorsque l'API PowerShell de Microsoft Exchange accorde aux contributeurs de calendrier plus de droits d’accès que prévu. Pour exploiter cette vulnérabilité, un attaquant devrait se voir accorder l'accès à un calendrier Exchange par un administrateur via PowerShell. L'attaquant serait alors en mesure d'afficher des détails supplémentaires sur le calendrier qui serait normalement caché.

    La mise à jour de sécurité corrige cette vulnérabilité en modifiant la façon dont l'API PowerShell d'Exchange accorde les permissions aux contributeurs.

    Télécharger Update Rollup 25 For Exchange 2010 SP3 (KB4468742)

  • Les résultats des certifications AZ-301 et AZ-302 passées en Bêta sont en ligne

    Il n’aura fallu attendre que quelques heures. Si vous avez passé les nouvelles certifications Bêta pour Microsoft Azure, Microsoft vient de mettre en ligne les résultats des certifications AZ-301: Microsoft Azure Architect Design et AZ-302 Microsoft Azure Solutions Architect Certification Transition.

    On attend les résultats de la certification DevOps AZ-400 qui a apparemment été ajusté plus en profondeur pour répondre aux enjeux attendus.

    Pour rappel, voici les différents éléments qui sont évalués :

     AZ-301: Microsoft Azure Architect Design

    La certification AZ-302 est celle utilisé pour faire la transition depuis la 70-535. Elle correspond à un condensé de l’AZ-300 et l’AZ-301.

    Note : Les résultats pour les certifications AZ-100, AZ-101, et AZ-102 sont déjà connus depuis plusieurs semaines.

  • Les résultats de la Certification AZ-300 passée en Bêta sont en ligne

    Pour ceux qui sont aventurés à passer les nouvelles certifications Bêta pour Microsoft Azure, Microsoft vient de mettre en ligne les résultats pour la certification AZ-300: Microsoft Azure Architect Technologies. Les résultats pour les certifications AZ-301 et AZ-302 devraient suivre dans les prochains jours.

    Pour rappel, voici les différents éléments qui sont évalués :

    AZ-300: Microsoft Azure Architect Technologies

     

    Note : Les résultats pour les certifications AZ-100, AZ-101, et AZ-102 sont déjà connus depuis plusieurs semaines.

  • [Azure] Microsoft et Citrix annoncent un partenariat avec le support de Windows Virtual Desktop

    A l’occasion de l’Ignite 2018, Microsoft a annoncé l’arrivée de Windows Virtual Desktop, un service de VDI/Bureau à distance hébergé dans Microsoft Azure. Il permet d’héberger des machines virtuelles Windows 10 Enterprise ou Windows 7 SP1 Enterprise (avec support étendu) afin notamment d’exécuter des applications soit pour des problèmes de compatibilité soit pour donner accès à des ressources à distance.  Pour rappel, les entreprises qui ont acheté Windows 10 Enterprise peuvent toutes bénéficier de ce service sans surcout de licences. Le seul coût est au niveau du calcul, du stockage et de la bande passante généré par ces machines virtuelles.

    Aujourd’hui à l’occasion du Citrix Summit, Microsoft annonce un partenariat permettant à Citrix de fournir ce service via la solution Citrix Cloud hébergée sur Microsoft Azure. Cela signifie que les clients Citrix pourront obtenir les mêmes droits d’accès à Windows 10 Enterprise (multisessions) ou Windows 7 SP1 Enterprise (avec support étendu) avec les offres Citrix Workspace, Citrix Virtual App (anciennement XenApp) et Citrix Desktops (Anciennement XenDesktop) service. Outre l’accès au service pour les offres citées, on attend que Citrix fournisse des fonctionnalités de gestion intégrées à ses propres solutions

    La Preview est attendue pour la fin du premier semestre 2019.

  • [Intune] Erreur de profile lors de l’enregistrement de périphériques iOS avec Apple Configurator

    L’équipe du support Microsoft Intune a publié un billet à propos d’un problème lorsque vous suivez le document expliquant l’enregistrement de périphériques iOS avec Apple Configurator. Dans ce cas, vous recevez l’erreur suivante : “Invalid Profile: The configuration for your iPad/iPhone could not be downloaded from [Entreprise]” error after accepting “Apply configuration

    Dans ce cas de figure, l’URL d’enregistrement pour le serveur MDM créé avec Apple Configurator n’est pas résolu avec succès ou a été éditer manuellement. Une URL valide commence par : https://manage.microsoft.com/EnrollmentServer/Discovery.svc/iOS/ESProxy? Alors que l’URL invalide est https://appleconfigurator2.manage.microsoft.com/MDMServiceConfig?. Cette dernière est l’URL originelle du profil copié à partir de la console Intune pour l’enregistrement via Setup Assistant.

    Comme solution de contournement, Microsoft recommande le remplacement de la portion de l’URL non valide avec celle qui est valide sur l’ordinateur mac et de préparer à nouveau le périphérique.

    Microsoft travaille sur une correction.

    Plus d’informations sur : Known Issue: Profile error enrolling iOS devices with Apple Configurator

  • Une nouvelle certification Microsoft 365 sur la sécurité (MS-500)

    Microsoft revoit en profondeur son programme de certifications avec une longue série de nouvelles certifications. Microsoft vient d’annoncer l’arrivée d’une nouvelle certification pour Microsoft 365 sur le thème de la sécurité. MS-500 : Microsoft 365 Security Administration couvre des éléments : Azure Active Directory, Azure Advanced Threat Protection (ATP), Windows Defender Advanced Threat Protection (ATP), Windows Defender, Windows Information Protection, Microsoft Intune, Office 365, Azure Information Protection, Cloud App Security, Windows Analytics, etc.

    Voici les diffèrents éléments évalués en détail :

    • Mettre en œuvre et gérer l'identité et l'accès (30-25%)
      • Sécuriser les environnements hybrides Microsoft 365
      • Sécuriser les comptes des utilisateurs
      • Mettre en œuvre des méthodes d'authentification
      • Mettre en œuvre l'accès conditionnel
      • Mettre en œuvre le contrôle d'accès basé sur les rôles (RBAC)
      • Mettre en œuvre Azure AD Privileged Identity Management (PIM)
      • Mettre en œuvre Azure AD Identity Protection
    • Mettre en œuvre et gérer la protection contre les menaces (20-25%)
      • Mettre en œuvre une solution hybride de protection contre les menaces d'entreprise
      • Mettre en œuvre la protection contre les menaces liées aux périphériques
      • Mettre en œuvre et gérer la protection des périphériques et des applications
      • Mettre en œuvre et gérer la protection de messagerie Office 365
      • Mettre en œuvre et gérer la protection contre les menaces Office 365
    • Mettre en œuvre et gérer la protection de l'information (15-20 %)
      • Accès sécurisé aux données au sein d'Office 365
      • Gérer Azure information Protection (AIP)
      • Gérer la prévention des pertes de données (DLP)
      • Implémenter et gérer Microsoft Cloud App Security
    • Gérer les fonctionnalités de gouvernance et de conformité dans Microsoft 365 (25-30%)
      • Configurer et analyser les rapports de sécurité
      • Gérer et analyser les journaux et rapports d'audit
      • Configurer la classification et l'étiquetage Office 365
      • Gérer la gouvernance et la conservation des données
      • Gérer les recherches et les enquêtes
      • Gérer la conformité à la réglementation sur la protection des données personnelles

     

    Un code de passage (MS500LibertyHikes) est disponible pour les 300 premiers. Les certifications doivent être passées avant le 8 février 2019. 

    Source : https://www.microsoft.com/en-us/learning/exam-ms-500.aspx

  • [Windows Autopilot/Intune] L’installation d’Office Click-to-Run (C2R) fait tomber en timeout la page d’état d’enregistrement de Windows Autopilot

    L’équipe du support Microsoft Intune et différentes personnes de la communauté, ont noté un problème avec Windows Autopilot et l’installation du client Office Click-to-Run (C2R) faite via Microsoft Intune lors de la phase de provisionnement.

    Cette capacité est disponible depuis Windows 10 1809 (ou ultérieur) où il devient possible de traquer l’état d’installation sur la page d’état d’enregistrement (ESP) de Windows Autopilot. Les versions précédentes de Windows 10 ne savent pas traquer cette installation.

    Le problème est que la page d’état d’enregistrement (ESP) peut être affichée plus longtemps et voir même tomber en timeout en fonction des configurations (matériel et Office).

    Dans ce cas de figure, Microsoft recommande l’augmentation du timeout défini au niveau de la configuration de la page d’état d’enregistrement dans Device enrollment →  Windows enrollment →  Enrollment Status Page. L’option Show error when installation takes longer than specified number of minutes permet de contrôler ceci et permet d’aller jusqu’à 24 heures (86 400 secondes).

    Plus d’informations sur : Support Tip: Office C2R installation is now tracked during ESP

  • [Intune] Microsoft recommande l’installation de Microsoft AutoUpdate pour Mac en version 4.5.0 ou plus

    L’équipe du support Microsoft Intune a publié un billet à destination de toutes les entreprises qui ont des utilisateurs sur mac OS. Le billet explique lorsque l’ordinateur mac est géré avec le portail d’entreprise, il est recommandé d’installer Microsoft AutoUpdate pour Mac en version 4.5.0 ou plus afin de recevoir les mises à jour du portail.

    C’est normalement déjà le cas si vous utilisez Office pour mac.

    Néanmoins si ce n’est pas le cas, vous pouvez le récupérer sur : https://go.microsoft.com/fwlink/p/?linkid=830196.

    Plus d’informations sur la page : Release history for Microsoft AutoUpdate (MAU)

    Source : https://techcommunity.microsoft.com/t5/Intune-Customer-Success/Support-Tip-Intune-Company-Portal-updates-for-Mac-with-Microsoft/ba-p/297611

  • [SCCM] Utiliser le FQDN pour la prise en main à distance (Remote Control) pour Direct Access

    Jonathan Warnken (PFE Microsoft) a publié un billet où il détaille comment créer une extension à la console d’administration de System Center Configuration Manager pour initier l’outil de prise en main à distance Remote Control avec un FQDN. Par défaut, l’option accessible en clic droit utilise le nom du client (nom court). Cette extension permet notamment d’ajouter le suffix DNS adéquat ce qui est nécessaire dans les environnements multi-domaines ou pour des clients connectés via DirectAccess.

    Lire Using the Fully Qualified Domain Name for Remote Control in System Center Configuration Manager

  • [Intune] Dépanner le connecteur Exchange On-Premises

    Microsoft a publié un nouveau dépanneur en ligne vous aidant à comprendre et résoudre les problèmes relatifs au connecteur Exchange On-Premises de Microsoft Intune.

    Pour ce faire, vous pouvez suivre : Troubleshooting the Intune On-Premises Exchange Connector

  • [Azure AD] Mise à jour prochaine des adresses IP d’Azure Active Directory

    Microsoft a publié un message dans l’Office Message Center à propos de la mise à jour prochaine des plages d’adresses IP utilisées par les services Azure Active Directory. Microsoft recommande de vérifier vos restrictions réseaux si vous avez basé l’ouverture des flux en fonction des adresses IP et non des URLs. Par exemple, Microsoft Intune utilise certaines plages Azure AD pour différentes étapes (Authentificaiton, Accès aux services, etc.). Si vous ne mettez pas à jour vos configurations, les utilisateurs peuvent voir un impact.

    Microsoft utilisera maintenant les plages suivantes :

    • 20.190.128.0/18
    • 40.126.0.0/18

    Si l'accès à Internet n'inclut pas ces plages d'adresses IP Azure AD supplémentaires, et si Azure AD commence à utiliser ces plages, les connexions des utilisateurs finaux échoueraient et vos utilisateurs ne pourraient pas se connecter aux applications, y compris le portail de l'entreprise et/ou les applications protégées par la politique de protection des applications Intune.

    Le changement est prévu au 15 janvier.

    Source : https://techcommunity.microsoft.com/t5/Intune-Customer-Success/Support-Tip-Azure-AD-updating-IP-Addresses-in-Mid-January/ba-p/304828

  • [SCCM CB] Les antivirus tiers, Windows Defender et Configuration Manager

    Todd Linke (PFE Microsoft) revient sur un cas intéressant rencontré avec System Center Configuration Manager où un serveur de site hébergé sur Windows Servers 2016 ne traitait pas correctement les rapports d’inventaire et les rapports d’état de conformité des mises à jour logicielles.
    En creusant via Process Monitor, il a découvert que les fichiers étaient bloqués par Windows Defender et la protection en temps réel. Ceci a surpris son client qui utilise un antivirus tiers et pensait que Windows Defender était désactivé automatiquement. Ce n’est pas nécessairement le cas de certains antivirus. Il est alors recommandé de vérifier et dans ce cas de

    • Soit créer les exclusions d’analyse adéquates pour Windows Defender
    • Soit désactiver la protection en temps réel.

    Plus d’informations sur : SCCM on Windows Server 2016: The Defender Gotcha

  • [Intune] Erreur « Company Portal Temporarily Unavailable » lors de l’ouverture du portail d’entreprise

    Je vous l’annonçais en juin dernier, Microsoft généralise l’usage de TLS 1.2 pour ses services. Microsoft Intune n’est pas épargné et ceci est le cas depuis le 31 Octobre 2018. L’équipe du support a publié un billet après des retours client faisant état d’une erreur Company Portal Temporarily Unavailable lors de l’ouverture du portail d’entreprise sur iOS.

    Apple est en train de demander l’utilisation d’Application Transport Security qui requiert l’utilisation de TLS 1.2 avec Forward Secrecy Ciphers. Le portail a été mis à jour pour valider ce prérequis ce qui engendre la génération de cette erreur.

    Le billet de l’équipe permet de dépanner le problème et voir si celui-ci vient d’un problème de connectivité, si la licence n’est pas attribuée à l’utilisateur ou si c’est bien un problème lié aux changements TLS 1.2

    Lire : Support Tip – Getting a “Company Portal Temporarily Unavailable” Error

  • Fusion des deux nouvelles certifications Azure pour les développeurs

    L’équipe BornToLearn vient d’annoncer la fusion des deux nouvelles certifications Azure publiées récemment (AZ-200 et AZ-201) en une seule et unique certification : AZ-203: Developing Solutions for Microsoft Azure.

    Ceci fait suite aux retours faits par les experts qui ont passé ces certifications. Il a été estimé que les certifications validées des connaissances qui allaient au-delà de ce qui était attendu pour un développeur. La nouvelle certification prend 70% des objectifs de AZ-200 et 30% d’AZ-201.

    Les éléments suivants ont été retirés :

    • Select the appropriate cloud technology solution (AZ-200 FG 1)
    • Design and develop applications that use media services (AZ-200 objective 3.8)
    • Develop for asynchronous processing (AZ-201 objective 1.1)
    • Develop long-running tasks (AZ-201 objective 1.3)
    • Implement distributed transactions (AZ-201 objective 1.4)
    • Develop Azure Cognitive Services, Bot, and IoT solutions (AZ-201 FG 3)

    L’examen de transition (AZ-202) est aussi retiré puisqu’une seule et nouvelle certification permet d’acquérir le statut. Ceux qui ont déjà passé ces examens verront leurs scores recalculés et s’ils passent les prérequis ; ils obtiendront le nouvel examen. Ceux qui ont passé uniquement la certification AZ-200 verront leur score recalculé et obtiendront éventuellement la nouvelle certification.

    Ceux qui ont passé la certification AZ-201 se verront attribué un voucher pour passer la certification AZ-203.

    Source : https://www.microsoft.com/en-us/learning/community-blog-post.aspx?BlogId=8&Id=375185

  • [Intune] Utiliser des paramétrages de profils personnalisés avec l’application contact native à iOS

    Ross Smith (Principal Program Manager) a publié un billet sur le blog du support Microsoft Intune pour parler du contrôle les contacts gérés entre l’application contacts native à iOS et l’application Outlook pour iOS. Avec iOS 11.3, Apple a modifié le comportement de deux contrôles de restriction de périphérique pour limiter l'accès à l'application native iOS Contacts. Avec iOS 12, Apple a fourni des contrôles de restriction de périphérique supplémentaires pour influencer le comportement des de l’application contacts native à iOS. Vous pouvez maintenant créer un profil de configuration personnalisé Intune pour autoriser ou bloquer la capacité d'Outlook pour iOS à enregistrer des contacts dans l'application native Contacts iOS.

    L’article qu’il a rédigé, décrit les options de configuration pour contrôler le transfert des contacts gérés entre Outlook et l'application native de contacts iOS.  Il détaille aussi comment restaurer le comportement pré-iOS 11.3 pour le partage des contacts sur les appareils enregistrés. 

    Lire : Support Tip: Use Intune custom profile settings with the iOS Native Contacts App 

  • Les certifications Microsoft prochainement retirées (Windows 10, Azure, Office 365, etc.)

    Microsoft entretien un cycle sur ses certifications passant de la phase de développement, de disponibilité, et de retrait. Microsoft est en train de mettre à jour de nombreuses certifications (Azure, Windows 10, Microsoft 365, etc.). Ainsi, de nouvelles certifications vont être retirées. On retient principalement :

    A partir du 31 décembre 2018 :

    • 70-496 : Administering Visual Studio Team Foundation Server
    • 70-497 : Software Testing with Visual Studio
    • 70-498 : Delivering Continuous Value with Visual Studio Application Lifecycle Management
    • 70-532 : Developing Microsoft Azure Solutions (Certifications de remplacement AZ-200, AZ-201)
    • 70-533 : Implementing Microsoft Azure Infrastructure Solutions (Certifications de remplacement : AZ-100, AZ-101)
    • 70-535 : Architecting Microsoft Azure Solutions (Certifications de remplacement : AZ-300, AZ-301)

    A partir du 31 Mars 2019 :

    • 70-331 : Core Solutions of Microsoft SharePoint Server 2013 (Certifications de remplacement : Microsoft Certified Teamwork Administrator Certification)
    • 70-332 : Advanced Solutions of Microsoft SharePoint Server 2013 (Certifications de remplacement : Microsoft Certified Teamwork Administrator Certification)
    • 70-341 : Core Solutions of Microsoft Exchange Server 2013 (Certifications de remplacement : Microsoft Certified Messaging Administrator Certification)
    • 70-342 : Advanced Solutions of Microsoft Exchange Server 2013 (Certifications de remplacement : Microsoft Certified Messaging Administrator Certification)
    • 70-346 : Managing Office 365 Identities and Requirements (Certifications de remplacement : MS-100, MS-101)
    • 70-347 : Enabling Office 365 Services (Certifications de remplacement : MS-100, MS-101)
    • 70-695 : Deploying Windows Desktops and Enterprise Applications (Certifications de remplacement : MD-100, MD-101)
    • 70-697 : Configuring Windows Devices (Certifications de remplacement : MD-100, MD-101)
    • 70-698 : Installing and Configuring Windows 10 (Certifications de remplacement : MD-100, MD-101)

     

    A partir du 30 juin 2019 :

    • AZ-102 : Microsoft Azure Administrator Certification Transition Exam (Certifications de remplacement : AZ-100, AZ-101)
    • AZ-202 : Microsoft Azure Developer Certification Transition (beta) (Certifications de remplacement : AZ-200, AZ-201)
    • AZ-302 : Microsoft Azure Solutions Architect Certification Transition (beta) (Certifications de remplacement : AZ-300, AZ-301)
    • 70-473 : Designing and Implementing Cloud Data Platform Solutions (Certifications prochainement annoncées)
    • 70-475 : Designing and Implementing Big Data Analytics Solutions (Certifications prochainement annoncées)
    • 70-773 : Analyzing Big Data with Microsoft R (Certifications prochainement annoncées)
    • 70-774 : Perform Cloud Data Science with Azure Machine Learning (Certifications prochainement annoncées)
    • 70-775 : Perform Data Engineering on Microsoft Azure HDInsight (Certifications prochainement annoncées)
    • 70-776 : Engineering Data with Microsoft Cloud Services (Certifications prochainement annoncées)

     

    A partir du 31 Juillet 2018 :

    • 74-343 : Managing Projects with Microsoft Project 2013

    Source: https://www.microsoft.com/en-us/learning/community-blog-post.aspx?BlogId=8&Id=375189

  • [SQL Server 2008/2008 R2] Les mises à jour pour activer le support TLS 1.2

    Les mises à jour nécessaires à l’activation du support de TLS 1.2 par SQL Server 2008 et SQL Server 2008 R2 ne sont pas présentes dans le catalogue Microsoft Update. Microsoft vient de les publier sur le centre de téléchargement.

    Pour SQL Server 2008, vous devez utiliser le Service Pack 4 avec le dernier cumulative Update.

    Pour SQL Server 2008 R2, vous devez utiliser le Service Pack 3 avec le dernier cumulative update.

    Télécharger :