Jean-Sébastien DUCHENE Blog's

Actualité, Tips, Articles sur l'ensemble des Technologies Microsoft (SCCM/SMS, EMS, Microsoft Intune, Microsoft Azure, Windows 10, SCOM, MDOP...)
    • 9/5/2019

    [SCCM CB] Les MDMs concurrents ne font pas de Co-Management !

    Il y a plusieurs mois maintenant, Microsoft annonçait l’arrivée du Co-Management de machine Windows 10 avec à la fois System Center Configuration Manager et Microsoft Intune. Ceci permet aux entreprises qui ont déjà System Center Configuration Manager de bénéficier des avancées de gestion moderne proposées par le Cloud via Microsoft Intune. Ceci donne accès à l’effacement à distance, l’accès conditionnel, Windows Autopilot, l’état de santé du client dans la console Intune, etc. Cela permet aussi aux entreprises de conserver les investissements qu’ils ont pu faire sur System Center Configuration Manager tout en se laissant le temps de passer des charges de travail initialement gérées par SCCM vers Microsoft Intune :

    • Stratégies de conformité
    • Stratégie de mises à jour logicielles
    • Stratégies d’accès aux ressources de l’entreprise
    • Gestion de l’antivirus (Endpoint Protection)
    • Configuration du périphérique
    • Gestion des applications Office Click-to-Run
    • Déploiements d’applications clientes.

    Depuis quelques temps dans des phases d’Avant-Vente pour défendre le modèle proposé par Microsoft, on se retrouve face à des solutions de gestion de périphériques mobiles (MDM) concurrentes (MobileIron, AirWatch, etc.) qui se targuent de pouvoir faire du Co-Management avec System Center Configuration Manager.

    C’est le signe que c’est Microsoft qui donne la direction à l’ensemble de l’écosystème EMM/MDM. Ces acteurs qui se retrouvent chahutés n’ont que d’autres solutions que de s’aligner sur les choix de Microsoft et le vocabulaire utilisé.

    Mais qu'en est-il vraiment ?

    Ne confondez pas Co-Management et Co-Existence ! Bien entendu, ce serait mentir que de dire que le client Configuration Manager ne peut pas coexister sur des postes Windows 10 gérés par d’autres solutions de MDM si ce périphérique est soit joint à Azure Active Directory ou Hybrid Azure AD Join. Ce n’est bien entendu pas le cas dans un mode BYOD ou la machine n’est joint à aucun domaine.

    Avoir deux autorités (un MDM et SCCM ou tout autre outil) sur un seul périphérique n’est pas si trivial car les outils (tout comme c’est le cas pour des antivirus) peuvent générer des conflits. Des valeurs de paramètres différentes peuvent s’appliquer continuellement.

    System Center Configuration Manager et Microsoft Intune est le seul couple qui propose une véritable solution travaillant ensemble : Du Co-Management ! System Center Configuration Manager et Microsoft Intune communiquent ensembles pour permettre de basculer les charges de travail citées plus haut sans impacter l’un ou l’autre des outils en fonction de l’autorité qui endosse la prise en charge de la fonctionnalité.

    Cette interaction n’existe pas avec d’autres solutions de MDM ! Dans ce cas, Microsoft a tout de même créé un système. Si le client ConfigMgr détecte une solution de gestion (MDM) tierce, alors certaines fonctionnalités sont automatiquement désactivées dans System Center Configuration Manager. Cela touche de manière similaire les fonctionnalités suivantes :

    • Stratégies de conformité
    • Analyse de mises à jour logicielles et installation
    • Stratégies d’accès aux ressources de l’entreprise
    • Gestion de l’antivirus (Endpoint Protection)
    • Configuration du périphérique
    • Gestion des applications Office Click-to-Run
    • Déploiements d’applications clientes incluant les packages.

    La grande différence se situe donc sur le fait qu’il n’est pas possible de choisir quelle charge de travail on souhaite gérer avec SCCM ou avec le MDM tiers. Par défaut le client SCCM désactive tout et ne garde que des fonctionnalités sommaires telles que : l’inventaire matériel et logicielles, Asset Intelligence, le contrôle d’usage logiciels et la gestion de l’alimentation. C’est pourquoi cette solution s’apparente plutôt à de la Co-Existence.

    Source : https://docs.microsoft.com/en-us/sccm/comanage/coexistence

    • 8/5/2019

    [Intune] Correction de deux problèmes de provisionnement de l’Intune Management Extension pour le déploiement d’applications

    Avec la version 1904 de Microsoft Intune, Microsoft corrige deux problèmes de scénario concernant le déploiement initial de l’Intune Management Extension utilisé pour le déploiement d’applications Win32 et de scripts PowerShell.

    Scénario 1 : Hybrid Azure AD Join

    Auparavant, si vous procédiez au scénario de gestion suivant :

    1. Réalisation de la jointure hybride à Azure AD (Hybrid Azure AD Join) d’une machine jointe initialement à Active Directory
    2. Enregistrement automatique dans Microsoft Intune via la GPO : Auto MDM Enrollment with AAD Token.

    Alors la machine était bien Hybrid Azure AD Join et enregistrée automatiquement (sans action de l’utilisateur) dans Microsoft Intune. Néanmoins, l’installation d’Intune Management Extension n’était pas réalisée. Il n’était ainsi pas possible de déployer des applications Win32 ou des scripts PowerShell.

    Scénario 2 : Jointure manuelle dans Azure AD puis enregistrement manuelle dans Microsoft Intune

    Dans ce cas, si vous procédiez au scénario de gestion suivant :

    1. Jointure manuelle dans Azure AD d’une machine sans que l’option d’enregistrement automatique à Microsoft Intune soit activée sur le tenant.
    2. Enregistrement manuelle par l’utilisateur dans Microsoft Intune

    Dans ce cas de figure, l’installation d’Intune Management Extension n’était pas réalisée. Il n’était ainsi pas possible de déployer des applications Win32 ou des scripts PowerShell. Il fallait alors déjoindre la machine à Azure AD et refaire une jointure manuelle.

    A partir d’avril 2019 :

    Dans les deux cas, avec la version 1904 du service, l’extension est automatiquement installée après l’enregistrement dans Microsoft Intune. Pour les périphériques qui auraient déjà été dans cet état, il suffit de déployer une application ou un script PowerShell pour que l’installation de l’extension soit réalisée.

    • 7/5/2019

    [SCCM CB/Intune] Co-Management des mises à jour logicielles et Dual Scan

    Jusqu’à maintenant, nous implémentions les solutions permettant d’empêcher le Dual Scan des mises à jour logicielles lorsqu’une machine est gérée avec System Center Configuration Manager. Avec les changements de stratégie, vous pouvez faire parti de ces entreprises qui gèrent les machines Windows 10 en Co-Management à la fois avec Microsoft Intune et System Center Configuration Manager.

    Vous pouvez donc décider un jour de gérer les mises à jour logicielles Microsoft avec Windows Update for Business et Microsoft Intune. Néanmoins, vous voulez potentiellement continuer de déployer des mises à jour tierces avec System Center Configuration Manager (et anciennement SCUP).

    Dans ce cas de figure, vous devez suivre le processus suivant :

    • Configurer le Co-Management (Ceci est un prérequis bien entendu) avec Microsoft Intune
    • Déplacer la charge de travail Windows Update Policies vers Microsoft Intune
    • Dans les paramétrages du client ConfigMgr, vous devez (garder) activer la gestion des mises à jour logicielles.
    • Ciblez ensuite des stratégies de gestion de mises à jour logicielles (Windows Update for Business) avec Microsoft Intune sur les périphériques

    En finalité, le client Configuration Manager configurera automatiquement le comportement Dual Scan sur les machines pour prendre en compte ce scénario.

    • 6/5/2019

    [Azure AD] Nouvelle documentation pour l’implémentation de l’authentification à facteurs multiples

    Microsoft a publié une nouvelle documentation basée sur les multiples guides PDF déjà publiés pour vous guider dans l’implémentation de l’authentification à facteurs multiples (MFA) proposée par Azure Active Directory.

    Cette documentation est donc à suivre avec attention :

    1. Prerequisites
    2. Plan user rollout
    3. Deployment Considerations
    4. Define network locations
    5. Plan authentication methods
    6. Plan registration policy
    7. Plan conditional access policies
    8. Plan integration with on-premises systems
    9. Implement your Plan
    10. Manage your solution
    11. Troubleshoot MFA Issues

    https://aka.ms/deploymentplans/mfa

    • 5/5/2019

    Microsoft publie le framework SECCON pour sécuriser son environnement

    Microsoft a créé un guide simplifié qui permet de sécuriser des machines Windows 10 en fonction des 5 niveaux de sécurité DEFCON :

    • Niveau 5 - Sécurité d'entreprise : Microsoft recommande cette configuration comme configuration de sécurité minimale pour un périphérique d'entreprise. Les recommandations pour ce niveau de configuration de sécurité sont généralement simples et sont conçues pour être déployées dans les 30 jours.
    • Niveau 4 - Entreprise haute sécurité : Microsoft recommande cette configuration pour les périphériques où les utilisateurs accèdent à des informations sensibles ou confidentielles. Certains contrôles peuvent avoir un impact sur la compatibilité des applications et, par conséquent, passeront souvent par une période audit-configure-applique. Les recommandations pour ce niveau sont généralement accessibles à la plupart des organisations et sont conçues pour être déployées dans les 90 jours.
    • Niveau 3 - Sécurité VIP d'entreprise : Microsoft recommande cette configuration pour les périphériques gérés par une entreprise dotée d'une équipe de sécurité plus importante ou plus sophistiquée, ou pour des utilisateurs ou des groupes spécifiques qui sont exposés à un risque particulièrement élevé. Une entreprise susceptible d'être ciblée par des adversaires bien financés et sophistiqués devrait aspirer à cette configuration. Les recommandations pour ce niveau de configuration de sécurité peuvent être complexes (par exemple, la suppression des droits d'administrateur local pour certaines organisations peut être un long projet en soi) et peuvent souvent aller au-delà de 90 jours.
    • Niveau 2 - Poste de travail DevOps [En cours de rédaction] : Microsoft recommande cette configuration aux développeurs et aux testeurs, qui sont une cible attrayante tant pour les attaques de la chaîne d'approvisionnement que pour les attaques de vol de justificatifs qui tentent d'accéder à des serveurs et systèmes contenant des données de grande valeur ou où les fonctions critiques de l'entreprise pourraient être perturbées.
    • Niveau 1 - Poste de travail de l'administrateur [En cours de rédaction] : Les administrateurs (en particulier ceux des systèmes d'identité ou de sécurité) courent le plus grand risque de vol de données, d'altération de données ou d'interruption de service.

     

    • 4/5/2019

    [Azure AD] Des vidéos sur l’accès conditionnel

    Vous souhaitez mettre en place de l’accès conditionnel sur vos ressources d’entreprise ? Microsoft a créé une série de vidéo qui aborde le sujet. Pour rappel, l’accès conditionnel permet de restreindre l’accès à des ressources de l’entreprise (Office 365, VPN, Services Azure, Applications métiers, etc.) en fonction de conditions définies et de règles de conformité.

    Plus d’informations sur :

    • 3/5/2019

    [SCCM] La Technical Preview 1904 de System Center Configuration Manager est disponible

    Microsoft vient de mettre à disposition la Technical Preview 1904 (5.0.8813.1000) de System Center Configuration Manager. Pour rappel, ConfigMgr a subi une refonte de sa structure pour permettre des mises à jour aisées de la même façon que l’on peut le voir avec Windows 10. Si vous souhaitez installer cette Technical Preview, vous devez installer la Technical Preview 1804 puis utiliser la fonctionnalité Updates and Servicing (nom de code Easy Setup).

    System Center Configuration Manager TP 1904 comprend les nouveautés suivantes :

    Administration

    • Le hub communautaire déjà introduit dans des versions précédentes, se voit enrichi. Il permet maintenant la récupération de rapports. Vous devez pour cela activer l’option Use Configuration Manager-generated certificates for HTTP site systems au niveau du site qui récupère les rapports. Pour plus de détails sur comment contribuer vous pouvez vous référer à la documentation.
    • Amélioration des processus sous-jacent au Centre Logiciels/Software Center :
      • Pour les applications en libre-service destinées aux utilisateurs, le Software Center les récupère maintenant à partir du Management Point. Il a ce comportement même si le site a les rôles catalogue d'applications. Cette modification vous permet de supprimer plus facilement ces rôles de site.
      • Auparavant, le Software Center choisissait le premier Management Point dans la liste des serveurs disponibles. À partir de cette version, il utilise le même Management Point que celui utilisé par le client. Ce changement permet au Software Center de s'aligner avec le client et d'avoir le même comportement de repli.
    • CMPivot peut être utilisé de manière autonome sans nécessiter la console d’administration. L’outil peut donc être partagé avec d’autres personnes (helpdesk, équipe sécurité, etc.) afin de leur permettre de récupérer des données intéressantes. L’application CMPivot est stockée dans <répertoire d’installation du site>\tools\CMPivot\CMPivot.exe. L’outil doit être copié avec l’ensemble des fichiers (dll, etc.). Il doit être exécuté avec les paramètres suivants :
      • -sms:Connection="<namespace>" où le namespace correspond au chemin vers le SMSProvider : \\<Nom du provider>\root\sms\site_<siteCode>
      • -sms:CollectionID="<CollectionID>" où l’identifiant de la collection correspond à la collection que vous ciblez pour exécuter les requêtes

    Exemple : CMPivot.exe -SMS:Connection="\\WT-CM-TP1\root\sms\site_TP1" -SMS:CollectionID="SMS00001"

                   Les utilisateurs doivent bien entendu avoir les permissions adéquates.

     

    Gestion des mises à jour logicielles

    • La gestion des mises à niveau de Windows 10 supporte maintenant les mises à jour dynamiques. Ceci permet d’automatiquement installer les packs de langues, les fonctionnalités à la demande, les drivers et les correctifs cumulatifs lors de l’exécution de la mise à niveau du système d’exploitation. Ceci adresse un des principaux points de faiblesse de la fonctionnalité Windows 10 Servicing pour passer d’une version de Windows 10 à l’autre. Vous pouvez activer l’option Enable Dynamic Update for Feature Updates dans les paramétrages du client afin de modifier le fichier setupconfig utilisé lors de l’installation de la mise à niveau pour spécifier l’usage des Dynamic Update.

    Cet ajout est automatique si vous cochez la case Add non-clustered indexes to the WSUS database au niveau des propriétés du Software Update Point pour chaque site. Ceci est fait automatiquement excepté si le serveur SQL est distant et n’utilise pas de port par défaut.

    Gestion d’Office 365

    • Le nouveau tableau de bord d’évaluation à la mise à niveau du client Office 365 ProPlus introduit dans la 1902 est étoffé. Vous pouvez le consulter en naviguant dans Software Library – Office 365 Client Management – Office 365 ProPlus Upgrade Readiness et permet d’obtenir des éléments sur :
      • L’évaluation des composants additionnels
      • Les déclarations de support des composants additionnels
      • Le TOP Des composants additionnels par version
      • Le nombre de périphériques qui ont des macros
      • L’évaluation des macros

    Déploiement de système d’exploitation

    • Il est maintenant possible de précharger dans le cache les packages de drivers ainsi que les images de système d’exploitation. Ceci s’ajoute aux packages de mise à jour de système d’exploitation afin de mieux contrôler l’usage de la bande passante. Vous devez donc spécifier l’architecture et la langue sur l’onglet Data Source de l’image de système d’exploitation. Pour les packages de drivers, vous devez spécifier le modèle dans l’onglet General. Cette valeur doit être celle spécifiée dans la valeur Name de la classe Win32_ComputerSystemProduct.
      Ensuite dans la séquence de tâches, vous pouvez spécifier les conditions sur les étapes Apply OS Image et Apply Drivers Package. Avec des requêtes WMI avec respectivement Select* from Win32_OperatingSystem where locale = ‘04c0’ and OSArchitecture = ’64-bit’ ou select * from Win32_ComputerSystemProduct where Name = "HP EliteBook 820 G4" par exemple. Il ne vous reste plus que de déployer la séquence de tâches avec l’option Pre-download content for this task sequence.
    • On retrouve deux nouvelles cmdlets PowerShell permettant d’éditer ou de créer l’étape Run Task Sequence : New-CMTSStepRunTaskSequence et Set-CMTSStepRunTaskSequence
    • Microsoft ajoute une nouvelle variable de séquence de tâches SMSTSRebootDelayNext qui doit être utilisée en conjonction avec SMSTSRebootDelay. Elle permet de spécifier un timeout différent pour les redémarrages qui suivent le premier redémarrage dont le timeout est défini par SMSTSRebootDelay.

     

    Plus d’informations sur : https://docs.microsoft.com/en-us/sccm/core/get-started/2019/technical-preview-1904

    • 3/5/2019

    [AIP] Nouvelle version (2.0.779.0) du client Unified Labeling d’Azure Information Protection

    Microsoft a publié une nouvelle version (v2.0.779.0) du client Unified Labeling d’Azure Information Protection. Ce correctif corrige un problème pour résoudre une condition rare où parfois les etiquettes/labels ne sont pas affichés dans Office ou l’explorateur de fichiers.

    Cette première version couvre les fonctionnalités standards et la classification automatique. Les fonctionnalités avancées sont attendues prochainement. Pour rappel, Azure Information Protection permet de classifier et labéliser la donnée au moment de la création en fonction de différentes catégories. L’administrateur peut ensuite appliquer des stratégies de protection embarquée dans la donnée en fonction de la classification appliquée. Ce service est issu du rachat de Secure Islands et vient englober Azure Rights Management (RMS).

    Vous trouverez la comparaison des fonctionnalités entre le client et le client Unified Labeling.

    Plus d’informations sur la version du client AIP Unified Labeling

    Télécharger Azure Information Protection unified labeling client