• [SCCM CB] Optimiser la gestion des mises à jour logicielle en assainissant son catalogue WSUS (nettoyage base de données, etc.)

    Depuis plusieurs mois maintenant, je rencontre des problématiques récurrentes autour de la gestion des mises à jour logicielles via System Center Configuration Manager chez tous les clients que je rencontre. Parmi ces problèmes, on retrouve :

    • L’incapacité de déployer des mises à jour pendant le déploiement de système d’exploitation
    • Des tempêtes d’analyses/scans ou une taille du catalogue de mises à jour (métadonnées) engendrant une surconsommation de la bande passante
    • Des clients qui ne se mettent pas à jour correctement en ne récupérant pas la liste de mises à jour comme attendu (timeout).
    • Une surcharge importante du serveur hébergeant le rôle Software Utapdate Point

    Les symptômes peuvent trouver leurs origines dans différentes raisons et je vais aborder l’une d’entre elles qui reste la plus commune et mérite une maintenance régulière.

    Avec les années, les entreprises ont utilisé System Center Configuration Manager pour mettre à jour différents produits et classifications. Avec l’arrivée de Windows 10, la multiplication des versions et la complexité du système de mises à jour. La quantité de métadonnées présentent dans le catalogue des serveurs WSUS a explosé. Il n’est pas rare de voir des clients récupérer un catalogue WSUS allant jusqu’à plusieurs centaines de mégaoctets. Ceci peut engendrer des timeouts lors de la récupération de ce catalogue et une surcharge de l’infrastructure. La multiplication des timeouts a l’effet pervers d’augmenter le nombre d’aller/retour des clients sur le serveur WSUS et ainsi d’empirer la situation.

    Avant d’aller plus loin, sachez que les manipulations réalisées dans cet article sont à vos risques et périls. Pour assainir son catalogue WSUS, il peut y’avoir un certain nombre d’actions de maintenance :

    1. Reconfigurer les classifications, langues et produits selon vos besoins
    2. Reconfigurer les règles de remplacement des mises à jour
    3. Configurer le nettoyage intégré après la synchronisation
    4. Lancer manuellement le nettoyage WSUS
    5. Décliner les mises à jour remplacées
    6. Décliner les mises à jour inutiles
    7. Supprimer les mises à jour déclinées
    8. Réindexer la base de données WSUS

     

    1. Reconfigurer les classifications, langues et produits selon vos besoins

    C’est la première action à réaliser ! Vous devez revalider les classifications, les langues et produits et s’assurer que vous ne synchronisez que ce dont vous avez besoin.

    Pour ce faire, ouvrez la console d’administration, et naviguez dans Administration – Site Configuration – Sites. Sélectionnez le site puis Configure Site Components – Software Update Point.

    Pour reconfigurer les classifications, choisissez l’onglet classifications :

    Par exemple si vous ne déployez pas de mises à jour de fonctionnalités, vous pouvez aisément décocher Upgrades.

     

    Pour configurer les produits, sélectionnez l’onglet Products :

    Retirez tous les produits que vous n’utilisez plus (Windows 2000, Windows XP, etc.). Une autre erreur commune est de cocher les produits ayant la mention :

    • <…> and later drivers
    • <…> and later upgrade and servicing drivers
    • <…> and later servicing drivers
    • <…> Dynamic Update
    • <…> Feature On-Demand
    • <…> GDR-DU
    • Windows 10 LTSB
    • <…> Language Interface Packs
    • <…> Drivers

    Ces produits ne sont pas supportés par Configuration Manager et ne peuvent pour l’instant pas être déployés par ce biais. Visez donc à assainir la partie produit.

     

    Faites de même dans l’onglet Languages en retirant toutes les langues que vous n’utilisez plus :

     

    Une fois la reconfiguration effectuée, vous pouvez lancer une synchronisation en naviguant dans Software Library – Software Updates – All Software Updates. Cliquez droit sur All Software Updates et sélectionnez Synchronize Software Updates.

     

    2. Reconfigurer les règles de remplacement des mises à jour

    Une erreur assez commune est aussi de configurer des règles de remplacement avec un délai relativement long. Par défaut, Configuration Manager expire les mises à jour remplacées après 3 mois. Avec le changement de la stratégie de Microsoft visant à fournir des correctifs cumulatifs, ce délai peut être réduit. Il n’est plus nécessaire de garder des mises à jour remplacées sur plusieurs mois. Vous pouvez donc aisément réduire ce délai à 2 mois voire même expirer immédiatement les mises à jour.

    Le choix de la valeur dépend de vos prérequis en matière de suivi du déploiement. L’expiration immédiate de la mise à jour arrêtera son déploiement et frisera donc votre pourcentage de conformité. Si vous devez atteindre un objectif (par exemple 98% de machines conformes), vous devez donc laisser un délai suffisant pour que les machines puissent continuer à récupérer les mises à jour. Néanmoins, les machines privilégieront potentiellement l’application d’une mise à jour plus récente.

    Depuis Configuration Manager 1810, les règles de remplacement sont séparées pour les mises à jour classiques et les mises à niveau (Features Update/Upgrades). Pour ce faire naviguez dans la console d’administration puis dans Administration – Site Configuration – Sites. Sélectionnez le site puis Configure Site Components – Software Update Point. Sélectionnez l’onglet Supersedence Rules :

     

    3. Configurer le nettoyage intégré après la synchronisation

    Depuis plusieurs versions de Configuration Manager Current Branch, il est maintenant possible d’exécuter un nettoyage de WSUS intégré après la synchronisation des mises à jour. Le mécanisme comporte de nombreux points faibles mais permet de faire un premier nettoyage. L’activation peut donc être bénéfique pour réaliser une maintenance récurrente.

    Pour ce faire naviguez dans la console d’administration puis dans Administration – Site Configuration – Sites. Sélectionnez le site puis Configure Site Components – Software Update Point. Sélectionnez l’onglet Supersedence Rules. Cochez la case Run WSUS Cleanup after synchronization:

     

    4. Lancer manuellement le nettoyage WSUS

    Cette opération doit être réalisée sur l’ensemble des serveurs WSUS associé au site ou à la hiérarchie Configuration Manager.

    Avant de réaliser cette opération, procédez à la sauvegarde de la base de données WSUS ainsi que la sauvegarde du site SCCM.

    Une action préliminaire à ce nettoyage en profondeur peut être lancer manuellement l’assistant de nettoyage de WSUS. Pour ce faire, ouvrez la console d’administration de WSUS. Déroulez le nom du serveur WSUS puis Options. Sélectionnez Server Cleanup Wizard.

    Sur l’assistant, cochez l’ensemble des cases et lancez l’opération de nettoyage :

     

    5. Décliner les mises à jour remplacées

    Cette opération doit être réalisée sur l’ensemble des serveurs WSUS associé au site ou à la hiérarchie Configuration Manager.

    Avant de réaliser cette opération, procédez à la sauvegarde de la base de données WSUS ainsi que la sauvegarde du site SCCM.

    Bien que Configuration Manager expire les mises à jour remplacées, un nombre important de mises à jour ont pu passer outre ce mécanisme. Pour cela, je vous recommande le script Decline-SupersededUpdates.ps1 que l’équipe Configuration Manager a fourni sur son blog.

    Lancez PowerShell en tant qu’administrateur et naviguez où vous avez stocker le script. Exécutez la commande suivante :

    .\Decline-SupersededUpdates.ps1 -UpdateServer <NomDuServer> -Port 8530 -ExclusionPeriod XX -SkipDecline

    Le paramètre ExclusionPeriod permet de spécifier le nombre de jours depuis la date d’aujourd’hui. Si vous avez spécifié une période dans les règles de remplacement des mises à jour, vous devez réutiliser cette valeur (nombre de mois) et convertir en jours. Si vous expirez immédiatement les mises à jour remplacées, vous pouvez retirer ce paramètre.

    Le paramètre SkipDecline permet de lancer la commande sans véritablement décliner les mises à jour. Un fichier CSV permet de revalider

    Vous pouvez ajouter le paramètre -UseSSL si WSUS est configuré en mode SSL. Il vous faudra aussi changer le port avec 8531.

    Par exemple :

    .\Decline-SupersededUpdates.ps1 -UpdateServer WSUSSERVER -Port 8531 -ExclusionPeriod 60

    Je vous recommande d’exécuter la commande avec le paramètre -SkipDecline afin de vérifier la liste des mises à jour dans le fichier CSV. Une fois validé, relancez la commande sans ce paramètre.

     

    6. Décliner les mises à jour inutiles

    Cette opération doit être réalisée sur l’ensemble des serveurs WSUS associé au site ou à la hiérarchie Configuration Manager. Commencez par le site le plus haut dans la hiérarchie puis descendez sur les serveurs WSUS des sites primaires et des sites secondaires.

    Avant de réaliser cette opération, procédez à la sauvegarde de la base de données WSUS ainsi que la sauvegarde du site SCCM.

    Maintenant que nous avons réalisé les opérations de nettoyage des mises à jour remplacées, nous pouvons réaliser une opération plus agressive de nettoyage des mises à jour inutiles. On peut par exemple penser :

    • Aux mises à jour Itanium pour les produits Windows Server
    • Aux mises à jour ARM64 pour Windows 10
    • Aux mises à jour pour des produits inutilisés : Windows 2000, Windows XP, Windows 2003, etc. En effet certaines mises à jour ne sont jamais déclinées.
    • Aux mises à niveau (Feature update) dans des langues, des architectures, des éditions (Team, Education, etc.) non présentes dans votre parc informatique.
    • Aux mises à niveau Office 365 ProPlus qui ne seraient pas déployées (Targeted, First Release, Monthly Channel, etc.)
    • Aux mises à jour Version Next de Windows 10 et Windows Server qui ont été proposées pour les versions préliminaires.
    • Aux mises à jour s’appliquant à des versions Windows 10 qui ne sont pas présentes sur votre parc.
    • Aux anciennes mises à jour Windows 7 qui pourraient être inclues dans les Cumulative Updates que vous déployez.
    • Aux préversions (Preview) des mises à jour (Cumulatives, etc.)

    La liste est non exhaustive et peut être enrichie avec d’autres cas selon vos usages.

    Attention : Toutes mises à jour déclinées qui sont ensuite supprimées, ne peuvent plus être retrouvées. Il vous faudra réinstaller WSUS et recréer la base de données. Réfléchissez donc bien avant de décliner une mise à jour !!

    Pour ce faire, vous devez ouvrir la console d’administration WSUS et naviguer dans Update Services - <NOMSERVER> - Updates – All Updates. Sur cette vue, vous devez sélectionner le mode Approval : Any Except Declined avec le Statut Any.

    Vous retrouvez la liste des mises à jour non expirées. Vous retrouvez notamment le nombre total de mises à jour ayant un statut autre qu’expiré et le nombre total de mises à jour (incluant les mises à jour expirées).

    Vous pouvez ensuite via la fonction recherche (Search…) pour rechercher les mises à jour via un mot clé. Par exemple, si vous savez que vous n’aurez jamais d’édition Education sur votre Parc ; vous pouvez alors décliner toutes les mises à niveau ciblant ces versions.

    Faites une revue complète de toutes les mises à jour listées puis sélectionner-les et choisissez Decline :

     

    Validez la fenêtre d’avertissement pour décliner les mises à jour. Vérifiez le nombre associé.

     

    Une fois terminé, rafraichissez la vue pour voir le nombre de mises à jour non déclinées se réduire. Répétez l’opération pour toutes les mises à jour éligibles à votre contexte (ARM64, anciennes mises à jour Windows 2000, langues de mise à niveau non présentes dans votre parc etc.) selon la liste que j’ai détaillée plus haut. Par exemple si vous n’avez que des systèmes d’exploitation anglais et français, vous pouvez retirer toutes les mises à niveau des autres langues (Feature Update). Veillez à ne pas retirer des langues qui pourraient être introduites dans le futur. Vous devez aussi valider le type d’édition éventuelle sur votre parc (Consumer ou Business). Je ne saurais vous recommander que de garder les deux si des machines venaient à apparaître dans une édition consumer.

     

    Notez toutes les mises à jour déclinées de manière à répéter l’opération sur l’ensemble des serveurs WSUS de votre hiérarchie. Les serveurs WSUS partageant la même base de données ne nécessite la réalisation de l’opération qu’une seule fois.

     

    Pour les mises à jour Itanium (si vous avez activé des produits relatifs à Windows Server), vous pouvez utiliser le script suivant. Ce dernier déclinera automatiquement toutes les mises à jour en utilisant la commande : .\Decline-WsusItaniumUpdates.ps1 -WsusServer <NOMDUSERVER> -PortNumber 8530 -TrialRun $false

     

    7. Supprimer les mises à jour déclinées

    Cette opération doit être réalisée sur l’ensemble des serveurs WSUS associé au site ou à la hiérarchie Configuration Manager. Commencez par le site le plus haut dans la hiérarchie puis descendez sur les serveurs WSUS des sites primaires et des sites secondaires.

    Avant de réaliser cette opération, procédez à la sauvegarde de la base de données WSUS ainsi que la sauvegarde du site SCCM.

    Une fois le déclin des mises à jour réalisé, nous allons pouvoir physiquement supprimer les mises à jour déclinées de la base de données.

    ATTENTION ! Cette opération est irréversible et supprimera définitivement la mise à jour sans avoir la possibilité de la réinjecter. Vous devez donc être sûr en revalidant les mises à jour déclinées avant de lancer cette suppression.

    Pour cette opération, on retrouve deux scripts potentiels que je vous recommande d’exécuter. Le premier est script SQL et a été réalisé par Benjamin Reynolds (MSFT). Vous pouvez le retrouver sur le site de Steve Thompson (MVP). Il permet notamment d’ajouter un index permettant d’optimiser l’opération tout en supprimer une partie des mises à jour déclinées.

    Si vous déployez les mises à jour de définition Windows Defender ou System Center Endpoint Protection, vous observerez un grand nombre de mises à jour de définition déclinées.

    Vous avez deux cas :

    • Soit la base de données est hébergée sur SQL Server (configuration préférable pour des raisons de maintenance)
    • Soit la base de données utilise Windows Internal Database.

    Dans le premier cas pour exécuter le script, ouvrez SQL Server Management Studio avec un compte utilisateur ayant les droits sur l’instance et sur la base de données WSUS (SUSDB). Chargez le script via un fichier tsql ou procédez à la création d’une requête (New Query) en copiant/collant le script tsql. Enfin, lancez l’exécution et laissez tourner. Vous pouvez observer l’avancement de la suppression et le nombre total de mises à jour à supprimer dans l’onglet Messages de la sous-partie de SQL Server Management Studio :

     

    Dans le second cas (WID) pour exécuter le script, utiliser les outils en ligne de commande sqlcmd en pointant sur l’emplacement du script :

    sqlcmd -S np:\\.\pipe\MSSQL$MICROSOFT##SSEE\sql\query –i <emplacement du script>\DeclineUpdates.sql

     

    Pour vérifier qu’il ne reste pas de mises à jour à supprimer, ouvrez PowerShell en tant qu’administrateur et utiliser les cmdlets PowerShell suivantes :

    $wsus = [Microsoft.UpdateServices.Administration.AdminProxy]::getUpdateServer()

    [reflection.assembly]::LoadWithPartialName("Microsoft.UpdateServices.Administration") | Out-Null

    $wsus.getupdates() | Where {$_.isdeclined -match 'true'} | ForEach-Object { $wsus.DeleteUpdate($_.Id.UpdateID); Write-Host $_.Title removed }

     

    Notez toutes les mises à jour déclinées de manière à répéter l’opération sur l’ensemble des serveurs WSUS de votre hiérarchie. Les serveurs WSUS partageant la même base de données ne nécessite la réalisation de l’opération qu’une seule fois.

    Cette opération réalisée, la taille du catalogue de mises à jour à considérablement baissée et la taille des métadonnées téléchargées par les clients aussi. Outre l’impact sur le réseau, cela allège les phases d’analyse du catalogue sur les clients.

     

    8. Réindexer la base de données WSUS

    Une fois les opérations de nettoyage terminées, je vous recommande de procéder à la ré-indexation de la base de données WSUS. Ceci peut être réalisé de différentes manières. On retrouve les célèbres scripts de maintenance d’Ola Hallengren mais vous pouvez aussi utiliser le script proposé par les ScriptingGuys. Le second est dédié à WSUS et peut être plus facile à utiliser.

    Pour exécuter le script, ouvrez SQL Server Management Studio avec un compte utilisateur ayant les droits sur l’instance et sur la base de données WSUS (SUSDB). Chargez le script via un fichier tsql ou procédez à la création d’une requête (New Query) en copiant/collant le script tsql. Enfin, lancez l’exécution et laissez tourner. Vous pouvez observer l’avancement de la suppression et le nombre total de mises à jour à supprimer dans l’onglet Messages de la sous-partie de SQL Server Management Studio :

    Même remarque si la base de données est hébergée via Windows Internal Database (WID), vous devez exécuter le script via la commande :

    sqlcmd -S np:\\.\pipe\MSSQL$MICROSOFT##SSEE\sql\query –i <scriptLocation>\WsusDBMaintenance.sql

    Ces scripts peuvent être exécuter de manière hebdomadaire afin d’assurer une indexation correcte de la base de données. Note la base de données WID n’ayant pas d’agent SQL Server, il vous faudra planifier l’exécution via une tâche planifiée par exemple.

  • [SCCM 1810] System Center Configuration Manager Visio Shapes (Stencil) Updated for ConfigMgr 1810 (v1.4)

    I’ve updated for System Center Configuration Manager 1810 the Visio Stencils/Shapes (v1.4) that I’ve created for System Center 2012 R2 Configuration Manager. As a reminder, it is not official but based on some models seen in the Microsoft sessions. It is based on stencil that some people from the community had published for SCCM 2007. This new version includes the changes from CM 1810 and some others updates.

    Version 1.4 changes include :

    • Adding Primary Site Servers (HA Active/Passive)
    • Adding CAS Site Servers (HA Active/Passive)
    • Adding Data Warehouse Synchronization Point - CAS
    • Adding Data Warehouse Synchronization Point - Primary Site
    • Adding Azure Web Apps
    • Adding Azure Native Apps
    • Adding Desktop Analytics
    • Adding Jamf Pro
    • Adding Datalert
    • Adding an Android Enterprise Device in addition to a Legacy Device
    • Tagging System Health Validator Point as Deprecated as it cannot be installed for few releases now.

     

    Download ConfigMgr (SCCM) 1810 Visio Stencils v1.4 from TechNet Gallery

    Any feedbacks are appreciated.

    This stencil is provided "AS IS" without express or implied warranty of any kind.

    En français :
    Je profite de plusieurs changements sur les versions précédentes afin de mettre à jour les gabarits (Stencils/Shapes) que j’avais créé. La mise à jour couvre les nouvelles fonctionnalités et la mise à jour de certaines formes. Pour rappel, il n’est pas officiel mais se base sur certains modèles aperçus dans les sessions Microsoft. Il se base sur le stencil qu’avait publié la communauté pour SCCM 2007.

    Parmi les changements, on retrouve :

    • Ajout de serveurs de site primaire (HA actif/passif)
    • Ajout de serveurs de site CAS (HA actif/passif)
    • Ajout d'un Data Warehouse Synchronization Point - CAS
    • Ajout d'un Data Warehouse Synchronization Point - Primary Site
    • Ajout d’Azure Web Apps
    • Ajout d’Azure Native Apps
    • Ajout de Desktop Analytics
    • Ajout de Jamf Pro
    • Ajout de Datalert
    • Ajout d'un périphérique Android Enterprise en plus d'un périphérique Android hérité
    • Marquage System Health Validator Point comme obsolète car il ne peut pas être installé depuis quelques versions maintenant.
  • [SCCM 1810] Publication du Correctif (KB4490434) pour un problème de découverte utilisateur

    Microsoft a publié un correctif non cumulatif (KB4490434) à destination de System Center Configuration Manager 1810. Ce second correctif résout un problème concernant la découverte des utilisateurs où on peut observer la création de colonnes dupliquées dans la table User_DISC.
    Dans ce cas de figure, les fonctionnalités qui utilisent les données de la découverte Active Directory des utilisateurs (collections, requêtes, déploiements) peuvent retourner des résultats incorrects ou incomplets. Ce scénario survient :

    • Lors de la mise à niveau vers la version 1810
    • Si des attributs additionnels sont collectés par la découverte des utilisateurs Active Directory
    • Une différence existe entre la casse actuellement spécifiée de l'attribut et la casse précédemment saisi pour l'attribut.

    Par exemple, cela survient si vous ajoutez manuellement l'attribut "Description" dans la console, que vous le supprimez, puis que vous l’ajoutez à nouveau au format minuscule.

    Vous pouvez potentiellement voir des problèmes dans le fichier SMS_Message_Processing_Engine.log puisque les colonnes sont continuellement ajoutées tant que le problème n’est pas corrigé :

    Undefined or max length increased discovery property: description~~
    Updating discovery schema for architecture User with 1 undefined discovery properties~~
    Created column generation xml for global table. <COLUMN NAME="description675" TYPENAME="NVARCHAR" MAX_LENGTH="32" />~~
    Created table begin xml for global table. <TABLE NAME="User_DISC">~~
    Created table end xml for global table. </TABLE>~~
    ERROR: Sql exception when handle schema change. System.Data.SqlClient.SqlException (0x80131904): A .NET Framework error occurred during execution of user-defined routine or aggregate "spModifyGlobalTable": ~~System.Data.SqlClient.SqlException: Request submitted with too many parameters. The maximum number is 2100.~~

    Pour savoir si vous êtes affecté par le problème, vous pouvez utiliser la commande SQL suivant :

    -- Get extended AD attributes for all sites if AD user discovery is enabled

    DECLARE ADAttributeCursor CURSOR LOCAL FOR SELECT scpl.Value FROM SC_Component sc 

    INNER JOIN SC_Component_Property scp ON sc.ID = scp.ComponentID 

    INNER JOIN SC_Component_PropertyList scpl ON sc.ID = scpl.ComponentID

    WHERE ComponentName = 'SMS_AD_USER_DISCOVERY_AGENT' AND scp.Name = 'SETTINGS' AND Value1 = 'ACTIVE' AND scpl.Name = 'AD Attributes'

     

    DECLARE @ADAttributes TABLE (Attribute NVARCHAR(MAX))

    DECLARE @ADAttributesXML XML

     

    OPEN ADAttributeCursor;     

    FETCH NEXT FROM ADAttributeCursor INTO @ADAttributesXML;   

    WHILE @@FETCH_STATUS = 0    

    BEGIN 

        INSERT INTO @ADAttributes SELECT T.c.value('.', 'NVARCHAR(MAX)') AS ADAttribute FROM @ADAttributesXML.nodes('/PropList/Value') T(c)

     

        FETCH NEXT FROM ADAttributeCursor INTO @ADAttributesXML;    

    END 

     

    CLOSE ADAttributeCursor;  

    DEALLOCATE ADAttributeCursor; 

     

    -- Compare with User Discovery Schema to find out if all extended AD attributes are defined there and have case sensitive name difference

    SELECT aa.Attribute AS ProposedAttribute, dpd.PropertyName AS ActualAttribute FROM (SELECT DISTINCT Attribute FROM @ADAttributes) aa

    INNER JOIN DiscPropertyDefs dpd ON aa.Attribute = dpd.PropertyName AND dpd.DiscArchKey = 4

    WHERE aa.Attribute <> dpd.PropertyName COLLATE SQL_Latin1_General_CP1_CS_AS

    Si ce problème survient, vous devez :

    • Désactiver la découverte d’utilisateurs Active Directory
    • Contacter le support Microsoft pour corriger les problèmes de données dans votre environnement.

    L’installation du correctif ne résout pas le problème mais empêche simplement que celui-ci survienne.

    L’installation doit se faire depuis la console d’administration dans la partie Updates and Servicing. Notez qu’il n’est pas nécessaire d’installer le correctif cumulatif (4486457) précédemment publié

    Note : Il n'y a pas d'ordre pour installer l'un des deux correctifs.

  • [SCCM 1810] Publication du Correctif (KB4490575) pour un problème de mises à jour logicielles

    Je vous parlais de ce problème il y a quelques jours, Microsoft a publié un correctif non cumulatif (KB4490575) à destination de System Center Configuration Manager 1810. Ce premier correctif résout un problème concernant l’installation des mises à jour logicielles qui ne répondent pas et ne renvoient pas d’état de finalisation que ce soit lors de l’installation avec le client SCCM ou dans une séquence de tâches. Ceci survient principalement quand on installe plusieurs mises à jour mixant à la fois Office et Windows. Le problème survient le plus souvent sur Windows 10 1709 mais peut aussi affecter d’autres versions.

    Si on exécute les mises à jour lors d’une étape Install Software Update, le composant InstallSWUpdate renvoie les messages suivants dans smsts.log :

    Waiting for job status notification ...

    Dans le fichier WUAHandler.log vous pouvez voir que l’installation de toutes les mises à jour s’effectue avec succès bien que la main ne soit jamais rendue.

    Lorsque ce comportement intervient dans un scénario de gestion des mises à jour logicielles (SUM) classique (sans séquence de tâches), vous pouvez voir que l’installation ne démarre jamais et que toutes les mises à jour restent bloquées dans un état ciStateDownloading. Vous pouvez notamment voir les éléments suivants dans le fichier UpdatesDeployment.log :

    Update (Site_73523994-7973-422C-A02B-F83A7A327F36/SUM_cca31bf2-b813-48d1-a4cd-ce317d024303) Progress: Status = ciStateDownloading, PercentComplete = 0, Result = 0x0 UpdatesDeploymentAgent

    Dans certains environnements, vous pouvez voir que le processus d’installation s’arrête après. Le redémarrage du client (CCMexec.exe) peut permettre de continuer le processus.

    L’installation doit se faire depuis la console d’administration dans la partie Updates and Servicing. Notez que vous devez au préalable avoir installé le correctif cumulatif 4486457 Update rollup for System Center Configuration Manager current branch, version 1810

    Note : Il n'y a pas d'ordre pour installer l'un des deux correctifs.

  • [Azure] Les annonces au 26 février 2019

    Voici le récapitulatif des annonces faites par Microsoft concernant sa plateforme Microsoft Azure.

    Parmi les annonces, on retrouve notamment :

    General

    Azure MarketPlace

    Azure Storage

    • Preview d’une fonctionnalité permettant de contrôler le failover de compte de stockage géo redondant (GRS). Si la région principale de votre compte de stockage géo-redondant devient indisponible pendant une période prolongée, vous pouvez forcer un basculement de compte. Lorsque vous effectuez un basculement, toutes les données du compte de stockage sont transférées dans la région secondaire et la région secondaire devient la nouvelle région primaire. Les enregistrements DNS de tous les terminaux de services de stockage - blob, Azure Data Lake Storage Gen2, fichier, file d'attente et table - sont mis à jour pour indiquer la nouvelle région principale. Une fois le basculement terminé, les clients peuvent automatiquement commencer à écrire des données dans le compte de stockage à l'aide des endpoints de la nouvelle région principale, sans aucune modification du code.
    • Disponibilité Générale d’Azure Data Lake Storage (ADLS) Génération 2. La solution combine l'évolutivité, la rentabilité, le modèle de sécurité et les riches capacités d'Azure Blob Storage avec un système de fichiers hautes performances conçu pour l'analyse et compatible avec le système de fichiers distribués Hadoop. La solution offre des capacités de sécurité de la données construite dans Azure Blob Storage comme le chiffrement des données en transit et au repos via TLS 1.2, les firewalls pour les comptes de stockage, l’intégration des réseaux virtuels et la sécurité des accès basée sur des rôles.
    • Disponibilité Générale d’Azure Data Explorer (AFX), un service d'analyse de données rapide et entièrement géré pour l'analyse en temps réel de grands volumes de données en continu. ADX est capable d'interroger 1 milliard d'enregistrements en moins d'une seconde sans aucune modification des données ou métadonnées requises. ADX comprend également des connecteurs natifs vers Azure Data Lake Storage, Azure SQL Data Warehouse et Power BI et est livré avec un langage de requête intuitif permettant aux clients d'obtenir un aperçu en quelques minutes.

    Azure Security Center

     

    IaaS

    Operations Management Suite

    Azure Backup

    Azure Site Recovery

    Azure Monitor

    • Améliorations d’Application Insights avec les éléments suivants. Pour rappel, Application Insights permet de superviser les performances des applications Java, .NET, et Node.JS ainsi que les applications JavaScript.
      • La vue de transactions de bout en bout supporte maintenant le filtrage d’une période de temps données afin d’analyser les éléments.
      • L'onglet Rôles préserve maintenant la sélection des rôles lors de la navigation à partir de l’application map.
      • L'onglet Rôles n'affiche plus les instances de rôles dupliqués avec des noms de rôles vides.
      • Le panneau de détails n'affiche plus "..." à côté d'éléments tels que les temps d'événements qui n'auraient pas dû avoir ce bouton.
      • Microsoft a rendu l’application map plus facile à lire et naviguer avec un bouton Zoom to fit, les nœuds groupés sont maintenant affichés sous forme de pile pour les rendre plus faciles à distinguer. On retrouve l’ajout de boutons "expand" et "collapse" pour les cartes insights dans le menu déroulant. Les nœuds sans connexion entrante sont maintenant affichés plus près de leur première connexion sortante sur la carte, ce qui devrait faciliter la lecture de nombreuses cartes. Les cartes avec de nombreux bords groupés complexes afficheront maintenant des statistiques.
      • Mise à jour de la calculatrice de prix pour estimer la facture autour d’Application Insights.
      • Publication de la version 2.9.0 pour le SDK .Net et la version 2.6.0 du SDK ASP.NET Core.
      • Publication de la version Alpha du SDK C# OpenCensus.
    • Les changements suivants sont intégrés à Log Analytics :
      • La tuile et les boutons Log Analytics sont renommés Log Analytics workspaces.
      • Log Analytics utilise Azure Data Explorer pour gérer ses données. Les données sont stockées dans Azure Storage et sont chiffrées à l'aide d'une clé de chiffrement gérée par Microsoft. Azure Data Explorer utilise également une mémoire cache sauvegardée par SSD qui stocke généralement les deux dernières semaines de données. Depuis janvier, les données des caches SSD sont également chiffrées dans toutes les régions.
      • Log Analytics enregistre maintenant automatiquement vos requêtes, afin qu'elles ne se perdent pas. Cette fonction nécessite l'activation des cookies tiers dans votre navigateur.
      • De nouvelles icônes indiquent les éléments de table dans la vue schéma, ce qui facilite la lecture. Lors du survol d'une table, un nouvel élément de prévisualisation permet une exécution rapide d'une requête pour afficher le contenu d'une table.
      • Microsoft permet la personnalisation des champs de filtrage directement à partir du volet de filtrage. Sélectionnez simplement la nouvelle icône Select filter et ajoutez le champ dont vous avez besoin.
      • Vous pouvez ajouter plus de contexte à vos graphiques en utilisant le mot-clé titre pour ajouter un titre.
    • Azure Monitor Workbooks permet maintenant de prendre un workbook et l’accrocher à toutes les sections comme titre dans un tableau de bord Azure via le bouton Pin. Les Workbooks créés à partir de l'onglet Troubleshooting Guides ou d'Azure Monitor for Resource Groups vous permettent désormais de choisir dans quel abonnement, groupe de ressources et emplacement les enregistrer.
    • A partir de la page des métriques, vous pouvez maintenant choisir à quel tableau de bord Azure vous placez vos cartes métriques. Vous pouvez même créer un nouveau tableau de bord à partir du même endroit.

    Azure SQL

    • Disponibilité Générale de la supervision automatique des performances (Query Store) dans Azure SQL Data Warehouse. Ceci est disponible pour les entreprises hébergeant des bases sur les deux générations 1 et 2. Query Store permet d’aider à dépanner les performances des requêtes en assurant le suivi des requêtes, des plans de requêtes, des statistiques d'exécution et de l'historique des requêtes pour vous aider à surveiller l'activité et les performances de votre data warehouse. Query Store est un ensemble de magasins internes et de vues de gestion dynamique (DMV) qui vous permettent :
      • Identifier et affiner les principales requêtes consommatrices de ressources.
      • Identifier et améliorer les charges de travail ad hoc.
      • Évaluer la performance de la requête et son impact sur le plan par des changements dans les statistiques, les indices ou la taille du système (paramètre DWU).
      • Voir le texte complet de la requête pour toutes les requêtes exécutées.

    Azure Data Factory

    • De nouveaux connecteurs sont disponibles pour Azure Data Factory avec notamment la capacité d’ingérer des données à partir de Google Cloud Storage dans Azure Data Lake Gen2 et traité dans Azure Databricks avec des données à partir d’autres sources, d’intégrer des données à partir de stockage de données compatibles Amazon S3, de copier des données à partir de MongoDB vers l’API Azure Cosmos DB MongoDB, et récupérer les données à partir des points de terminaisons RESTful. Les connecteurs suivants ont été mis à jour : Azure Database for MariaDB, Generic OData, et Dynamics AX.
    • Avec la fonctionnalité Mapping Data Flow dans Azure Data Factory, vous pouvez visualiser le design, construire et gérer les processus de transformation de données sans avoir à apprendre Spark ou avoir des connaissances importantes sur les infrastructures distribuées.

    HDInsight

    Azure IoT

    • Public Preview d’IoT Hub Device Streams, un nouveau service PaaS permettant de fournir les fondation d‘une connectivité de bout en bout sécurisée pour les périphériques IoTLe service correspond à un tunnel de transfert de données qui assure la connectivité entre deux terminaux TCP/IP : un côté du tunnel est un périphérique IoT et l'autre côté est un terminal client qui a l'intention de communiquer avec le périphérique. Il existe de nombreuses configurations où la connectivité directe à un périphérique est interdite en raison des stratégies de sécurité de l’entreprise et des restrictions de connectivité imposées à ses réseaux. Ce service permet d’offrir une réponse à ces scénarios.
    • Azure IoT Edge peut fonctionner dans une machine virtuelle pour les systèmes d’exploitation suivants.

    Autres services

  • [OMS] Configurer une limite journalière sur l’ingestion de données

    Le service Operations Management Suite (OMS) permet en autre de collecter des données et faciliter les opérations sur vos services d’infrastructure (Datacenter et Cloud). Le service a un modèle qui peut être lié à la consommation et l’ingestion de données si vous utilisez le niveau de service gratuit ou par GB (per GB Standalone). Il est donc primordial de contrôler le flux afin de ne pas avoir des surprises en termes de facturation. Cela peut être notamment le cas si vous essayez la solution ou pour des labs.

    Pour voir le suivi de la consommation, vous pouvez naviguer dans le portail Azure puis dans Logs Analytics Workspaces. Vous devez sélectionner votre workspace puis Usage and estimated costs. Cette espace permet de voir les niveaux d’ingestion et de stockage des données en fonction des services (LogManagement, Office365, Security, DNSAnalytics, etc.) que vous avez activé.

     

    Pour limiter le volume de données journalier, choisissez Data volume management. Ce panneau permet de jouer sur :

    • La durée de rétention de données (en jour)
    • Le volume de données (GB) par jour

  • [Intune] Problème d’état en échec sur des stratégies Windows Defender Antivirus

    Il semble qu’un problème touche la remontée de l’état des stratégies Windows Defender configurées avec Microsoft Intune. Ces dernières remontent un état Failed.

    En regardant en détail l’état d’un périphérique et de la stratégie associée, on peut voir que l’état failed est remonté pour la planification de l’analyse journalière (Schedule scan day) :

     Pour résoudre le problème, vous devez configurer les paramètres suivants :

    • Type of system scan to perform: Not Configured
    • Schedule scan day: La valeur que vous souhaitez

     

    C'est un bug connu de Microsoft dû à des paramétrages dupliqués dans l'interface. Deux des paramétrages pointe sur le même noeud CSP. Ceci sera corrigé sur la version de Mars.

  • [Intune] Les nouveautés de mi-février 2019

    Microsoft vient d’annoncer la mise à disposition d’un nouvel ensemble de fonctionnalités pour Microsoft Intune.

    Les fonctionnalités suivantes sont ajoutées :

    Enregistrement des périphériques

    • [macOS] Le portail d’entreprise sur macOS se voit doté d’un mode sombre (Dark Mode). Ce dernier est activé lorsque vous activez le mode sombre sur des périphériques macOS 10.14+.

    Gestion du périphérique

    • [Windows 10] Vous pouvez renommer un périphérique Windows 10 1803+ enregistré via Intune > Devices > All devices > choisissez un périphérique > Rename device.

    Configuration du périphérique

    • [General] Amélioration de l’interface pour l’accès conditionnel dans la console Intune en incluant :
      • Remplacement de la tuile d'accès conditionnel Intune par la tuile d'Azure Active Directory. Cela assure d'avoir accès à la gamme complète des paramètres et des configurations pour l'accès conditionnel (qui reste une technologie Azure AD), à partir de la console Intune.
      • Microsoft a renommé la tuile On-premises access en tuile Exchange Access et déplacé la configuration du connecteur Exchange service sur cette tuile renommée.
    • [Windows 10] Les scripts PowerShell peuvent maintenant s’exécuter en 64-bits sur des périphériques 64-bits. Pour ce faire, vous pouvez naviguer dans Device configuration > PowerShell scripts > Add > Configure > Run script in 64 bit PowerShell Host.
    • [Windows 10] Plusieurs changements sur les périphériques Windows 10 dans un mode Kiosk :
      • Pour Microsoft Edge : Use Microsoft Edge Kiosk Mode et Refresh Browser after idle time
      • Pour Les favoris et la recherche : Allow changes to search engine
      • Ajout de Microsoft Edge ou le navigateur Kiosk pour s’exécuter comme application sur le périphérique Kiosk
      • De nouvelles fonctionnalités et paramétrages sont disponibles pour autoriser ou restreindre incluant :

    • [iOS/macOS] Vous pouvez restreindre certains paramétrages et fonctionnalités sur des périphériques exécutant iOS et macOS. Cette mise à jour ajoute plus de fonctions et de paramètres que vous pouvez contrôler, y compris le réglage de l'heure à l'écran, la modification des paramètres eSIM et des plans cellulaires, et plus sur les périphériques iOS. Aussi, retarder la visibilité de l'utilisateur des mises à jour logicielles et bloquer la mise en cache du contenu sur les périphériques macOS.
    • [macOS] Les utilisateurs macOS sont invités à mettre à jour leur mot de passe. Intune force le paramétrage ChangeAtNextAuth sur les périphériques utilisateurs. Ce paramètre a une incidence sur les utilisateurs et les périphériques qui ont des stratégies de mot de passe de conformité ou des profils de mot de passe de restriction de périphériques. Cette invite s'affiche lorsqu'un utilisateur exécute pour la première fois une tâche nécessitant une authentification, telle que la connexion à l'appareil. Les utilisateurs peuvent également être invités à mettre à jour leur mot de passe lorsqu'ils font quoi que ce soit qui nécessite des privilèges administratifs, comme demander l'accès au porte-clés. Tout changement de stratégie de mot de passe nouveau ou existant par l'administrateur invite à nouveau les utilisateurs à mettre à jour leur mot de passe.
    • [macOS] Vous pouvez assigner des certificats SCEP (Simple Certificate Enrollment Protocol) en utilisant des attributs de périphériques macOS sans que ces derniers aient une affinité utilisateur. Le profil de certificat peut ensuite être associé à un à un profil Wi-Fi ou VPN.
    • [iOS] Pour les périphériques iOS, on retrouve un changement d’emplacement des paramétrages Safari et les mises à jour logicielles :
      • Les paramétrages Safari sont déplacés de Safari (Device configuration > Profiles > New profile > iOS > Device restrictions) vers Built-In Apps
      • Le paramétrage  Delaying user software update visibility for supervised iOS devices vers Device Restriction – General.
    • [iOS] Le paramétrage Enabling restrictions in the device settings pour les périphériques iOS supervisés est renommé Screen Time (Supervised Only). Le comportement reste le même.
    • [Android] Les périphériques Android Enterprise en mode Kiosk sont maintenant appelés « Dedicated Devices ». Ceci permet de s’aligner avec la terminologie Android. Ce profil est accessible dans Device configuration > Profiles > Create profile > Android enterprise > ** Device Owner Only > Device Restrictions > Dedicated devices

     

    Gestion des applications

    • [Windows 10] Vous pouvez maintenant collecter les journaux d’échec de l’installation des applications Win32 à partir de la tuile Troubleshooting ou depuis le périphérique dans la partie Managed Apps.

    • [Windows 10] Un nouvel écran appelé App Categories a été ajouté pour améliorer la navigation et la sélection des applications dans le Portail d'entreprise pour Windows 10. Les utilisateurs verront maintenant leurs applications triées par catégories telles que Featured, Education, et Productivity. Ce changement apparaît dans les versions 10.3.3.3451.0 et ultérieures du Portail d'entreprise.
    • [Android] Intune va prendre en charge les APIs Google Play Protect sur les périphériques Android. Ceci permet d’ajouter les capacités de contrôle des périphériques rootés pour les périphériques non enregistrés. Il est possible d’empêcher des utilisateurs d'accéder aux données de l'entreprise ou leurs comptes d'entreprise peuvent être supprimés de leurs applications dotées d'une stratégie.
    • [iOS] De nouveaux messages d’erreur d’installation d’applications sont disponibles dans la colonne Status Details dans Client Apps > Apps > <Application> > Device install status :
      • Failure for VPP apps when installing on shared iPad
      • Failure when app store is disabled
      • Failure to find VPP license for app
      • Failure to install system apps with MDM provider
      • Failure to install apps when device is in lost mode or kiosk mode
      • Failure to install app when user is not signed in to the App Store

     

    Supervision et Dépannage

    • [Général] Microsoft a publié une application Intune Compliance (Data Warehouse) permettant aux utilisateurs d’accéder au tableau de bord Power BI Intune Data warehouse en ligne. Il est maintenant possible de partager ces rapports sans avoir à quitter le navigateur et effectuer d’installations particulières.

    • [Général] Le rapport Enrollment Failures a été déplacé vers la section Monitor de la tuile Device Enrollment. Deux nouvelles colonnes (Enrollment Method et OS Version) ont été ajoutées.
    • [Général] Le rapport Company Portal abandonment a été renommé Incomplete user Enrollments.

    Sécurité

    • [Général] Lorsqu'un administrateur crée une ressource, toutes les balises scope attribuées à l'administrateur seront automatiquement attribuées à ces nouvelles ressources.

     

    Plus d’informations sur : https://docs.microsoft.com/en-us/intune/whats-new

  • [CM1806+] Retirer/Désinstaller les rôles du catalogue d’applications

    Depuis Configuration Manager 1806, les rôles ne sont plus nécessaires pour permettre le déploiement d’applications en libre-service ciblées sur les ressources utilisateurs puisque c’est le Management Point qui endosse cette responsabilité. Notez que ce dernier permet d’assurer une charge similaire voir d’une façon plus optimisée que par l’usage des rôles d’Application Catalog. En outre, la capacité de définir des Boundary Groups permet de mieux contrôler le comportement des clients.

    Avec la Technical Preview 1901 de System Center Configuration Manager, Microsoft vient de finir le travail de portage des fonctionnalités présentes dans le catalogue d’applications vers le Centre Logiciels (Software Center). Il manquait encore la capacité pour l’utilisateur de définir manuellement une machine comme étant sa machine principal (Primary Device).

    Tout ce travaille permet notamment de s’affranchir de la dépendance sur Silverlight.

    Microsoft finira surement par déprécier les rôles Application Catalog website point et Application Catalog Web Service Point et les retirer du produit. Afin de retirer les rôles voici les actions à opérer :

    1. Mettre à jour l’ensemble des clients avec le client Configuration Manager 1806 ou plus
    2. Forcer l’utilisation du nouveau Software Center avec le paramétrage Use the new Software Center dans les paramétrages du client (Computer Agent).
    3. Définir le branding du Software Center dans les paramétrages du client dans la partie Software Center comme cela était défini au niveau des propriétés du catalogue d’applications.
    4. Retirer la sélection d’un rôle ou la définition d’une URL personnalisée sur le paramétrage de client “default application catalog web site” dans la partie Computer Agent.

    1. Désinstaller les rôles Application Catalog website point et Application Catalog Web Service point.

    Vous avez fait le tour des éléments à prendre en considération.

  • Le Correctif Cumulatif 12 pour Exchange Server 2016 est disponible

    L’équipe Exchange vient de publier le 12ème Cumulative Update (CU12) (15.01.1713.005) pour Exchange Server 2016. Microsoft a changé la stratégie d’assistance sur le cycle de vie d’Exchange ne nécessitant plus l’application des derniers Cumulative Update pour être supporté.

    Il apporte les changements suivants :

    • 4487596 Emails are blocked in moderator mailbox Outbox folder when you send large volumes of emails in Exchange Server 2016
    • 4456241You receive a meeting request that has a "not supported calendar message.ics" attachment in Exchange Server 2016
    • 4456239New-MailboxRepairRequest doesn't honor RBAC RecipientWriteScope restrictions in Exchange Server 2016
    • 4487591The recipient scope setting doesn't work for sibling domains when including OUs in the scope in Exchange Server 2016
    • 4468363MRM does not work for mailboxes that have an online archive mailbox in Exchange Server
    • 4487603"The action cannot be completed" error when you select many recipients in the Address Book of Outlook in Exchange Server 2016
    • 4487602Outlook for Mac users can still expand a distribution group when hideDLMembership is set to true in Exchange Server 2016
    • 4488076Outlook on the Web can't be loaded when users use an invalid Windows language in operating system in Exchange Server 2016
    • 4488079Exchange Server 2016 allows adding Exchange Server 2019 mailbox server into a same DAG and vice versa
    • 4488077Can't configure voice mail options when user is in different domain in Exchange Server 2016
    • 4488263X-MS-Exchange-Organization-BCC header isn't encoded correctly in Exchange Server 2016
    • 4488080New-MigrationBatch doesn't honor RBAC management scope in Exchange Server 2016
    • 4488262Delivery Reports exception when tracking a meeting request that's sent with a room resource in Exchange Server 2016
    • 4488268Disable the irrelevant Query logs that're created in Exchange Server 2016
    • 4488267Test-OAuthConnectivity always fails when Exchange Server uses proxy to connect to Internet in Exchange Server 2016
    • 4488266Client application doesn't honor EwsAllowList in Exchange Server 2016
    • 4488265"There are problems with the signature" error occurs for digital signature message if attachment filtering is enabled in Exchange Server 2016
    • 4488264Mailbox that has a bad move request can't be cleaned up from destination mailbox database in Exchange Server 2016
    • 4488261Event ID 1002 when the store worker process crashes in Exchange Server 2016
    • 4488260New-MailboxExportRequest and New-MailboxImportRequest don't honor RBAC management scope in Exchange Server 2016
    • 4488259MailTip shows wrong number of users for a distribution group if the users are in different domains in Exchange Server 2016
    • 4488258OAuth authentication is removed when saving MAPI virtual directory settings in EAC in Exchange Server 2016
    • 4490060Exchange Web Services Push Notifications can be used to gain unauthorized access
    • 4490059Reducing permissions required to run Exchange Server using Shared Permissions Model

     

    Notez qu’après avoir installé le Cumulative Update 12 pour Exchange Server 2016, le bouton Accepter disparaît dans le message d'invitation d'un calendrier partagé dans Microsoft Outlook sur le client Web. Par conséquent, vous ne pouvez pas ajouter le calendrier partagé en cliquant directement sur le bouton Accepter. Référez-vous à la KB4471392 pour plus d’informations.

    Télécharger :

     

  • Le Correctif cumulatif 22 pour Exchange Server 2013 est disponible

    L’équipe Exchange vient de publier le 22ème Cumulative Update (CU22) (15.00.1473.003) pour Exchange Server 2013.

    Il corrige les vulnérabilités suivantes : Microsoft Common Vulnerabilities and Exposures CVE-2019-0686 et Microsoft Common Vulnerabilities and Exposures CVE-2019-0724.

    Il apporte les changements suivants :

    • 4487603 L’erreur "The action cannot be completed" lorsque vous sélectionnez plusieurs destinataires dans le carnet d'adresses d'Outlook dans Exchange Server 2013
    • 4490060 Les notifications Push des Web Service Exchange peuvent être utilisées pour obtenir un accès non autorisé.
    • 4490059 Réduction des autorisations requises pour exécuter Exchange Server à l'aide d'un modèle de permissions partagées

    Télécharger :

  • [Office 365] Microsoft retire la messagerie unifiée d’Exchange Online

    Microsoft a annoncé le retrait de la fonctionnalité Messagerie Unifiée (Unified Messaging) d’Exchange Online et son remplacement par les services Cloud Voicemail et Auto Attendant. Ceci impact le traitement des messages vocaux.

    Les infrastructures Lync Server 2013 et Skype for Business Server se connectant à Exchange UM Online seront transférées par Microsoft sur Cloud Voicemail au plus tard en février 2020. Les entreprises qui utilisent Lync 2010 Server ne seront pas transférées et doivent se mettre à jour vers Skype for Business Server avant février 2020.

    Plus d’informations sur les considérations : Retiring Unified Messaging in Exchange Online

  • Rollup 26 disponible pour Exchange Server 2010 SP3

    L’équipe Exchange vient de publier le 26ème Rollup (KB4487052) pour Exchange Server 2010 SP3 (version 14.03.0442.000).

    Il corrige les vulnérabilités suivantes : Microsoft Common Vulnerabilities and Exposures CVE-2019-0686 et Microsoft Common Vulnerabilities and Exposures CVE-2019-0724.

    En outre, il corrige le problème suivant : 4490060  Les notifications Push des Web Service Exchange peuvent être utilisées pour obtenir un accès non autorisé.

    Télécharger Update Rollup 26 For Exchange 2010 SP3 (KB4487052)

  • [AIP] Choisir l’option définie par défaut avec le bouton Encrypt dans Outlook

    Depuis la version 16.0.11023+ du client Office 365 ProPlus, il est désormais possible de choisir l’option sélectionnée par défaut quand on choisit le bouton Encrypt dans Outlook lors de l’utilisation d’Azure Information Protection (AIP).

    Par défaut le bouton Ecnrypt applique l’option Encrypt-Only (pour les utilisateurs d’Exchange Online). Dans Outlook Web Access, le bouton Protect applique aussi la stratégie Encrypt-Only.

    Sur Outlook, vous pouvez changer cette valeur en configurer la valeur de registre DefaultPermissionTemplateGuid au niveau de la clé HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Common\DRM en spécifiant :

    • Un GUID correspondant au modèle que vous souhaitez appliquer quand l’utilisateur clique sur le bouton Encrypt. Si le GUID n’est pas valide ou disponible, alors le bouton réagit comme prévu par défaut (Encrypt Only)
    • smime: L’option de chiffrement S/MIME est alors utilisée.
    • Irmdnf : L’option Do Not Forward est appliquée
    • Irmencrypt : L’option Encrypt est appliquée.

    Vous pouvez aussi configurer ces options via les modèles d’administration d’Office dans la partie User Configuration > Administrative Templates > Microsoft Outlook 2016 > Security > Cryptography. Le paramétrage Configure default encryption option for the Encrypt button permet de gérer ce comportement avec les mêmes options que spécifiées plus haut.

    Notez que pour l’instant ces possibilités en sont pas offertes pour Outlook sur Mac.

  • Disponibilité Générale de Windows Admin Center 1902

    Microsoft vient d’annoncer la disponibilité générale de la nouvelle interface graphique permettant de gérer les infrastructure Windows Server : Windows Admin Center en version 1902. Outre cette publication, Microsoft propose aussi le Software Development Kit (SDK) pour étendre les capacités de l’interface. Pour rappel, Windows Admin Center permet de gérer tous les rôles des infrastructures Windows Server (File Server, Hyper-V, Storage Replica, Cluster, etc.) ainsi que de s’interconnecter à des services Azure.

    Parmi les nouveautés, on retrouve notamment les capacités :

    • Microsoft publie la capacité de créer une liste de connexions unique qui peut être partagée entre tous les utilisateurs de WAC. Pour ajouter des serveurs, des clusters et des PC comme connexions partagées, vous devez être un administrateur de WAC. Allez dans Gateway Settings > Shared Connections, puis ajoutez des serveurs, des clusters et des PC comme vous le feriez normalement. Vous pouvez également baliser les serveurs dans ce volet, et ces balises apparaîtront pour tous les utilisateurs. Les balises sont immuables depuis la page d'accueil "Toutes les connexions", ce qui signifie que les utilisateurs WAC ne peuvent pas modifier les balises sur les connexions de serveur partagé.

    Pour les personnes qui utilisent RDCman, Microsoft a publié un script que vous pouvez utiliser pour exporter vos connexions RDCman sauvegardées vers un fichier.CSV que vous pouvez ensuite importer avec PowerShell pour maintenir toute votre hiérarchie de regroupement RDCman en utilisant des balises.

     

    Pour le Software Defined Networking (SDN) :

    • Nouvel outil de gestion des Access Control List. Avec le SDN, vous pouvez utiliser des listes de contrôle d'accès (ACL) pour gérer le flux de trafic de données à l'aide du pare-feu du datacenter et des ACL des sous-réseaux virtuels. Vous pouvez activer et configurer les règles du pare-feu du datacenter en créant des listes de contrôle d'accès qui seront appliquées à un sous-réseau virtuel.
    • Nouvel outil SDN Gateway est un logiciel multi-tenant conçu pour les routeurs BGP à destination des Cloud Service Providers (CSPs) et entreprises qui hébergent plusieurs réseaux virtuels de tenants en utilisant la virtualisation de réseau d’Hyper-V. Vous pouvez gérer et surveiller les connexions aux passerelles dans un environnement SDN en supportant trois types de connexions : IPSEC, GRE, L3
    • Nouvel Outil Logical Network Management permettant de gérer et superviser les réseaux logiques.
    • Vous pouvez maintenant choisir de connecter une VM à un VLAN ou à un réseau virtuel dans un environnement SDN

     

    Pour les entreprises qui utilisent la version 1809 de Windows Admin Center, vous devez mettre à jour vers la version 1902 dans les 30 jours pour rester supporter.

    Télécharger Windows Admin Center 1902

  • [SCCM CB] Maximiser la réussite de la mise à niveau vers une nouvelle version de Windows 10

    Beaucoup d’entreprises utilisent System Center Configuration Manager Current Branch pour mettre à niveau les machines Windows 10 vers une version (Build) plus récente du système. On retrouve différentes possibilités de mises à niveau :

    • Utiliser une séquence de tâches qui comprend l’orchestration de prérequis (mise à jour de l’antivirus, etc.) puis chargement de l’image ISO afin de mettre à jour le système d’exploitation.
    • Utiliser la fonctionnalité Windows 10 Servicing qui implique l’usage des mises à jour pour déployer ces nouvelles versions. Cette méthode a un inconvénient : Elle ne permet pas l’orchestration d’actions de pré-installation (mise à jour de l’antivirus, mise à jour de certaines applications etc.). En outre, actuellement elle ne permet pas de prendre en compte les packs de langues, les fonctionnalités à la demande (On-Demand Features) mais ces limitations vont être levée avec l’arrivée des mises à jour Unified Updates Platform (UUP). Cette méthode reste la plus adéquate pour l’utilisateur car la majorité du travail peut se faire en tâche de fond et l’indisponibilité de la machine est alors fortement réduite.

    Comment optimiser la mise à niveau d’une version de Windows 10 via la fonctionnalité Windows 10 Servicing ?

    Outre les problèmes de compatibilité (antivirus, chiffrement, applications, et drivers, etc.), un des principaux problèmes est lié au temps d’exécution de ces mises à niveau qui peuvent dépasser le temps maximal défini par défaut (60 minutes sur les précédentes versions : 1709, 1803, 1809). Le timeout n’est appliqué que lors de la phase s’exécutant sur le système d’exploitation d’origine.

    Ceci est devenu problématique car à partir de Windows 10 1709, l’installeur Windows est configuré pour s’exécuter avec une priorité faible afin de ne pas impacter la productivité de l’utilisateur (Ceci n’est pas valable pour mise à niveau avec une séquence de tâches).  En outre, Microsoft a transféré l’exécution de nombreuses opérations dans le système d’exploitation d’origine et non plus dans la phase Windows RE ou de premier démarrage.

    Afin d’assurer un meilleur taux de succès, vous pouvez :

    Possibilité N°1 : Manuellement augmenter la durée maximale d’exécution timeout à une valeur plus adéquate à votre parc (en fonction des performances matérielles par exemple). Vous pourriez ainsi passer ce seuil de 60 minutes à 180 minutes.

    Pour ce faire, ouvrez la console d’administration et naviguez dans Software Library – Windows 10 Servicing – All Windows 10 Updates.

    Identifiez la mise à niveau que vous devez/avez déployé :

    Ouvrez les propriétés et l’onglet Maximum Run Time. Passez la valeur de 60 minutes à 120 par exemple. Adaptez la valeur selon vos besoins et votre expérience.

    Appliquez la valeur et réajuster au fil de vos tests.

     

    Possibilité N°2 : ajuster la priorité depuis ConfigMgr Technical Preview 1901 ou 1902 d’exécution de faible (Low) à Normal en ouvrant la console d’administration et naviguant dans Software Library – Windows 10 Servicing – All Windows 10 Updates.

  • [SCCM] La Technical Preview 1902.2 de System Center Configuration Manager est disponible

    Microsoft vient de mettre à disposition la Technical Preview 1902.2 (5.0.8787.1000) de System Center Configuration Manager. Pour rappel, ConfigMgr a subi une refonte de sa structure pour permettre des mises à jour aisées de la même façon que l’on peut le voir avec Windows 10. Si vous souhaitez installer cette Technical Preview, vous devez installer la Technical Preview 1804 puis utiliser la fonctionnalité Updates and Servicing (nom de code Easy Setup).

     

    System Center Configuration Manager TP 1902.2 comprend les nouveautés suivantes :

    Administration

    • Intégration avec l’Analytics d’Office pour l’évaluation du client Office 365 ProPlus afin de donner une vision des périphériques qui peuvent être mis à niveau vers une version supérieure. Ceci permet de détecter des problèmes de compatibilité éventuels avec les composants additionnels d’Office ou les macros. L’intégration se fait au niveau du tableau de bord Office 365 Client Management avec une nouvelle tuile Office 365 ProPlus Upgrade Readiness pour afficher les périphériques prêts à être mis à jour ou nécessitant une attention. Les périphériques doivent avoir une connectivité à l’Office CDN pour télécharger le fichier d’évaluation des composants.
    • Amélioration des critères de succès pour les déploiements phasés (Phased Deployments). Vous pouvez maintenant spécifier un nombre de périphériques comme critère et non plus qu’un pourcentage. Ceci peut être intéressant quand la taille de la collection est variable avec un faible nombre par exemple.
    • Amélioration au mode Enhanced HTTP avec la possibilité de l’activité par site primaire ou pour le Central Administration Site (CAS) uniquement. Le paramétrage est donc applicable au site où il est activé et non plus à la hiérarchie.

     

    Gestion des mises à jour logicielles

    • Support de toutes les langues supportées pour les mises à jour du client Office 365. Les différents assistants (Création ADR, Téléchargement de mises à jour, Déploiement de mises à jour, etc.) séparent maintenant les 38 langues pour les mises à jour Windows des 103 langues pour les mises à jour du client Office 365.

     

    Plus d’informations sur : https://docs.microsoft.com/en-us/sccm/core/get-started/2019/technical-preview-1902-2

  • [SCCM CB] Les versions obsolètes des applications téléchargées du Microsoft Store for Business ne sont pas nettoyées

    En faisant un peu de nettoyage sur une de mes plateformes de tests System Center Configuration Manager, je me suis rendu compte que près de 50 GB d’espace disque était pris par les applications que j’avais approuvé dans le Microsoft Store for Business.

    On retrouve deux modes de licences pour ces applications :

    • Hors ligne : Configuration Manager s’occupe de récupérer le contenu et le client vient le récupérer sur les points de distribution. La gestion des licences se fait via ConfigMgr et non pas via le Microsoft Store
    • En ligne : Le téléchargement est réalisé via le Microsoft Store et Windows Update. Configuration Manager ne fait que diriger le Microsoft Store. Le compte Azure AD de l’utilisateur est utilisé pour réaliser les différentes opérations de téléchargement. Dans ce cas de figure, on en retrouve aucun contenu dans la hiérarchie ConfigMgr.

    Actuellement, toutes les applications approuvées dans un mode Hors ligne sont téléchargées dans le répertoire utilisées par le connecteur Microsoft Store for Business et ce même si vous ne les avez pas créé et déployé. System Center Configuration Manager télécharge toute nouvelle version publiée par le développeur. Néanmoins, le produit n’effectue pas de nettoyage des versions obsolètes et précédentes.

    C’est pourquoi aujourd’hui après 2 ans, les quelques applications (Word, OneNote, Reader, Surface, Sway, etc.) que j’avais approuvé, prennent jusqu’à 50 GB. C’est particulièrement vrai si l’application est mise à jour fréquemment par l’éditeur/le développeur.

    En regardant dans le dossier utilisé par le connecteur, on peut voir les différentes applications et l’ensemble des versions publiées par le développeur. Par exemple pour Word :

     

    Comment nettoyer ces versions obsolètes ?

    Le travail n’est pas si simple qu’on pourrait le penser. Il ne suffit pas de prendre toutes les anciennes versions et de simplement les supprimer. En réalité, il faut vérifier si l’application que vous déployez correspond bien à la dernière version. En effet, même si ConfigMgr télécharge les nouvelles versions, il en revient à l’administrateur de créer une nouvelle application et de la déployer !

    Si vous n’avez jamais recréer l’application, alors vous déployez la première version synchronisée. Pour ce faire, vous pouvez vérifier de la façon suivante (par exemple dans mon cas pour Word), naviguez dans Software Library – Applications. Ciblez l’application puis ouvrez un des types de déploiement :

     

    Récupérez le chemin vers le contenu :

     

    Identifiez dans l’explorateur de quand date la version :

     

    Dans mon cas, la version date de 2017 et n’est clairement pas la dernière version. Deux solutions sont possibles :

    • Recréer l’application (à partir de License Information for Store Apps) et déployer la dernière version. Ceci constitue surement la solution la plus adéquate.
    • Supprimer toutes les versions exceptées celles que vous déployez ainsi que la dernière version.

     

    Pour faire ce nettoyage, vous devez pour chaque application :

    • Créer l'application en dernière version !
    • Regarder TOUS les types de déploiement pour toutes les versions de l'application que vous déployez et le chemin associé au contenu.
    • Cibler ce contenu afin de le conserver
    • Supprimer les autres dossiers du répertoire (exception faite du dossier images).

    Attention ! L’opération est à réaliser à vos risques et périls et sans support.

    Vous pouvez aussi voter pour l’UserVoice afin que le nettoyage soit nativement intégré au produit.

  • Les résultats des certifications MS-100 et MS-101 passées en Bêta sont en ligne

    Si vous avez passé les nouvelles certifications Bêta pour Microsoft 365, Microsoft vient de mettre en ligne les résultats des certifications MS-100: Microsoft 365 Identity and Services et MS-101: Microsoft 365 Mobility and Security.

    Pour rappel, voici les différents éléments qui sont évalués :

    • MS-100: Microsoft 365 Identity and Services
      • 20-25% sur la conception et l’implémentation des services Microsoft 365 : Ceci inclut la gestion des domaines, la planification, la mise en œuvre des abonnements et tenants Microsoft 365, la gestion des abonnements et de la santé du tenant, planifier la migration des données utilisateurs.
      • 35-40% sur la gestion des identités et rôles utilisateurs : Ceci inclut la conception de la stratégie d’identité, la planification de la synchronisation avec Azure AD Connect, la gestion de la synchronisation, la gestion des identités Azure AD, et la gestion des rôles utilisateurs
      • 20-25% sur la gestion des accès et des authentifications : Ceci inclut la gestion de l’authentification, l’implémentation de l’authentification à facteurs multiples, la configuration des accès aux applications, l’implémentation des accès pour les utilisateurs externes.
      • 10-15% sur la planification des charges de travail et applications Office 365
    • MS-101: Microsoft 365 Mobility and Security
      • 30-35% sur l’implémentation des services de périphériques modernes : Ceci inclut l’implémentation de la gestion des périphériques mobiles, la gestion de la conformité de périphérique, la planification des périphériques et applications, et la planification du déploiement Windows 10.
      • 30-35% sur l’implémentation de la gestion des menaces et de la sécurité avec Microsoft 365 : Ceci inclut l’implémentation de Cloud App Security, l’implémentation de la gestion des menaces, l’implémentation de Windows Defender Advanced Threat Protection (ATP), et la gestion des rapports et alertes de sécurité
      • 35-40% sur la gestion de la conformité et de la gouvernance Microsoft 365 : Ceci inclut la configuration de la prévention de la perte de données (DLP), l’implémentation d’Azure Information Protection, la gestion de la gouvernance de données, la gestion de l’audit, et la gestion d’eDiscovery.

     

    Note : Les résultats pour les certifications MD-100, MD-101, et MS-500 sont toujours attendus.

  • Nouvelle version (10.2.7) du Client Remote Desktop pour macOS

    Microsoft vient de publier une nouvelle application (10.2.3) du client Remote Desktop pour macOS. Cette version apporte :

    • Dans cette version, Microsoft a géré les erreurs d'encodage graphique (causées par un bug d'encodage du serveur) qui apparaissaient lors de l'utilisation du mode AVC444.
    • Ajout du support du codec AVC (420 et 444), disponible lors de la connexion aux versions actuelles de Windows 10.
    • En mode Fit to Windows, un rafraîchissement de la fenêtre se produit immédiatement après un redimensionnement pour s'assurer que le contenu est rendu au niveau correct.
    • Correction d'un bug de mise en page qui entraînait le chevauchement des en-têtes de flux pour certains utilisateurs.
    • Nettoyage de l'interface utilisateur dans la partie Préférences d'application.
    • L’interface d’ajout/édition de bureau a été nettoyée
    • De nombreux ajustements et finitions ont été effectués sur la tuile Connection Center et les vues de liste pour les postes de travail.

    Tester le client Remote Desktop pour Mac

  • [SCCM 1806/1810] Problème de téléchargement des mises à jour logicielles sur Windows 10 avec une séquence de tâches

    NOTE : Le problème est identifié par Microsoft avec des solutions de contournement pour SCCM 1806 et SCCM 1810.

    De plus en plus d’utilisateurs rapportent (via les forums) des problèmes lors de l’installation de mises à jour logicielles pendant des séquences de tâches de déploiement de système d’exploitation (OSD) avec System Center Configuration Manager. Ce problème semble concerner Windows 10 uniquement et certaines versions spécifiques de Windows 10 (1709 notamment mais aussi 1803 ou 1809).

    Le fichier smsts.log affiche indéfiniment des messages comme suit :

    Waiting for job status notification ...
    Waiting for job status notification ...
    Waiting for job status notification ...
    Waiting for job status notification ...
    Waiting for job status notification ...

    Microsoft est en train d’identifier le problème plus en détails pour l’adresser.

    Il semble qu’utiliser la version 1802 du client System Center Configuration Manager permette d’adresser le problème et installer les mises à jour lors du déploiement de cette séquence de tâches.

    Toutes ces informations sont à prendre avec des pincettes. Si vous rencontrez un problème de ce type, n’hésitez pas à ouvrir un ticket chez Microsoft pour enrichir les informations déjà remontées.

  • [Windows 10] Un webinar sur le packaging MSIX.

    Microsoft va tenir une série de trois webinars sur le packaging via le format MSIX. Le premier a lieu mercredi 20 février de 7h à 8h30 (heure française). Pour rappel, le format MSIX est un nouveau format standardisé lancé par Microsoft pour remplacer l’ensemble des formats de packaging existants tout en bénéficiant des avancés des différentes solutions : Click-To-Run (C2R), App-V, APPX et plus généralement du Framework d’applications universelles (UWP). Il offre donc des mécanismes de conteneurisation et les bénéfices des applications universelles avec une installation, mise à jour et désinstallation aisée sans laisser aucune trace sur le système. Il fournit aussi des mécanismes de sécurisation avancés permettant de valider l’intégrité du code exécuté. Ce format permet aussi de créer des personnalisations pour les applications packagées et de les faire perdurer au travers des différentes mises à jour de l’application.

    Pour s’enregistrer : MSIX - Packaging Desktop applications for Modernization" – Part 1 of 3

  • [Autopilot] Le scénario de Autopilot pour périphériques existants échoue avec l’erreur MDM enroll failed: 0x80180014

    Voici une considération importante si vous souhaitez implémenter Windows Autopilot avec Microsoft Intune pour le scénario (Autopilot for existing devices) qui concerne des périphériques existants. Ce scénario implique l’utilisation de System Center Configuration Manager pour descendre une image de Windows 10 et ensuite lancer le processus Windows Autopilot via un fichier JSON présent localement sur la machine.

    Dans ce scénario, le périphérique n’est pas préalablement connu du service Windows Autopilot et de Microsoft Intune. Si vous bloquez l’enregistrement des périphériques personnels (BYOD) pour Windows 10, alors le déploiement échoue lors de l’enregistrement du périphérique dans Microsoft Intune avec l’erreur 0x80180014. En regardant le journal d’événements DeviceManagement-Enterprise-Diagnostics-Provider, vous pouvez voir des événements 71, 11, 52 et 59 avec notamment le message:

    Specific platform (e.g. Windows) or version is not supported.

    La problématique vient du fait que le périphérique n’est pas connu de Microsoft Intune. Aujourd’hui, le seul moyen de pré-enregistrer des périphériques est d’importer le périphérique comme étant un périphérique Windows Autopilot (dans Device enrollment – Windows Enrollment – Windows Autopilot devices). L’autre moyen ne concerne pour l’instant que les périphériques iOS, Android et mac OS via la fonction Corporate device identifiers (dans Device enrollment - Corporate device identifiers)

    Deux possibilités s’offrent à vous :

    • Vous souhaitez utiliser le scénario Autopilot for existing devices pour des périphériques existants équipés de Windows 10. Vous devez donc extraire le numéro de série, le hash matériel via le script suivant et l’intégrer dans la console Microsoft Intune dans Device enrollment – Windows Enrollment – Windows Autopilot devices. Ceci permettra de garder la restriction sur les périphériques BYOD.
    • Vous souhaitez utiliser le scénario Autopilot for existing devices pour des périphériques existants équipés d’une version antérieure (Windows 7, Windows 8.1, etc.). Ces versions ne permettent pas d’extraire le numéro de série et le hash matériel. Vous devez donc tout baser sur le fichier JSON et sur le fait que Microsoft Intune ne connaitra pas préalablement votre périphérique. Dans ce cas de figure, vous devez réactiver l’enregistrement des périphériques personnels Windows (BYOD) dans Device Enrollment – Enrollment Restrictions – Device Type Restrictions (Default – All Users). Validez d’abord que la plateforme Windows (MDM) est bien autorisée dans select platforms :

    Ensuite dans Configure platforms, activez l’enregistrement des périphériques personnels

    Après ces considérations et modifications, le scénario fonctionnera comme attendu.

  • [Remote Desktop] Nouvelle version 1.0.7 du client Web Remote Desktop

    Microsoft vient de mettre à disposition une nouvelle version (1.0.7) du client Web pour Remote Desktop pour Windows Server 2016 et Windows Server 2019. Vous pouvez ajouter le client web à une infrastructure existante via les commandes PowerShell.

    Cette version apporte les éléments suivants :

    • L'accès hors ligne sur les réseaux internes est désormais supporté.
    • Amélioration du rendu sur autres navigateurs que Edge.
    • Mise en place d'une limite pour les tentatives de réessaie de récupération des abonnements/feed afin d'empêcher du DoS.
    • Correction de bugs d'accessibilité afin de permettre aux utilisateurs ayant une déficience visuelle d'utiliser le client Web.
    • Amélioration des messages d'erreur affichés à l'utilisateur pour les erreurs de feed/abonnements.
    • Ajout des raccourcis Ctrl + Alt + Fin (Windows) et fn + control + option + delete (Mac) pour invoquer Ctrl + Alt + Del en session distante.
    • Amélioration de la télémétrie en cas de crash.
    • Diverses corrections de bugs

    Cette version web est simplifiée avec les fonctionnalités essentielles telles que :

    • L’accès au bureau ou aux applications publiées via un abonnement (feed)
    • Le Single Sign-on
    • L’impression vers un fichier PDF
    • L’audio en sortie
    • Les résolutions dynamiques et le plein écran
    • Le copier/coller de texte en utilisant les raccourcis (Ctrl + C et Ctrl + V)
    • Le support des entrées par le clavier et la souris
    • La localisation en 18 langues (dont le français)

    Le client web est supporté par les principaux navigateurs :

    • Microsoft Edge
    • Internet Explorer 11
    • Google Chrome
    • Mozilla Firefox
    • Apple Safari

    Ceci permet de couvrir les principales plateformes : Windows, macOS, Chromebook et Linux.

  • [Azure AD] Un livre blanc sur la sécurité d’Azure Active Directory

    Microsoft a rédigé un livre blanc très complet sur la sécurité d’Azure Active Directory et notamment des données associées. On retrouve des éléments sur les algorithmes de chiffrement utilisés aux différents niveaux. Ce dernier résume :

    • Les composants Azure Active Directory
    • Azure AD et les données : le modèle de la solution Azure AD, l’emplacement des données et le stockage des données à travers les composants
    • Les considérations sur la protection des données (contrôle d’accès, sécurité des données, la suppression des données d’Azure AD, etc.)
    • Les considérations pour le flux de données (Azure AD Connect, les services de provisionnement Azure AD, etc.)
    • Les considérations opérationnelles pour les données (fichiers de logs, etc.)

     

    Télécharger et lire Azure Active Directory Data Security Considerations