• [Intune] Problème connu avec la gestion des dépenses télécom (Telecom Expense Management) et Android Enterprise

    Microsoft vient de communiquer un problème qui touche Microsoft Intune avec la solution de la gestion des dépenses télécom (Telecom Expense Management) de Saaswedo et Android Enterprise. Microsoft vient de communiquer que si le périphérique est enregistré en mode Android for Work / Android Enterprise avec Work Profile, il n’est pas possible de désactiver l’itinérance des données après avoir été notifié par Datalert.

    Le message a été envoyé aux clients qui utilisent la solution Datalert de Saaswedo.

    Microsoft recommande de repousser l’usage d’Android Enterprise Work Profile pour l’instant et de rester sur le mode Android Legacy.

    En effet, la possibilité de désactiver l'itinérance des données n'est pas indiquée par Google comme paramètre pris en charge pour les Work Profile et peut donc ne pas être configurable par Intune. Microsoft évalue actuellement s'il existe d'autres solutions.

  • [OneDrive] Monter automatiquement les sites d’équipe SharePoint sur OneDrive

    A l’occasion de la SharePoint Conference, Microsoft a enfin délivré la fonctionnalité permettant au client OneDrive de monter automatiquement les sites d’équipe SharePoint pour l’utilisateur. Ceci se fait au travers du paramétrage de GPO : Configure team site libraries to sync automatically.

    Une fois déployé, le client de synchronisation OneDrive synchronisera automatiquement le contenu de la bibliothèque partagée en tant que fichiers en ligne uniquement la prochaine fois que l'utilisateur se connecte et dans une fenêtre de 8 heures pour aider à distribuer la charge réseau.

    Une fois configuré, l'utilisateur ne pourra pas arrêter la synchronisation de la bibliothèque partagée à moins que la stratégie ne soit désactivée.

    Si vous désactivez la stratégie, cette dernière ne démontera pas la bibliothèque partagée, mais l'option d'arrêter la synchronisation de la bibliothèque sera disponible pour les utilisateurs.

    Parmi les prérequis à la prise en compte du paramétrage :

    • Vous devez utiliser à minima Windows 10 1709 pour appliquer ce paramétrage.
    • Il ne s’applique qu’aux site SharePoint Online (non On-Premises)
    • La fonctionnalité OneDrive Files On-Demand doit être activée.
    • La fonctionnalité n’est pour l’instant disponible que pour le Ring Insiders (Windows ou Office).

    Plus d’informations

  • Publication de la version de Juin 2019 d’Azure Data Studio

    Microsoft publie une nouvelle version (Juin 2019) d’Azure Data Studio, précédemment connu sous le nom SQL Operations Studio. Azure Data Studio offre une expérience d'éditeur moderne avec IntelliSense, des extraits de code, l'intégration du contrôle des sources et un terminal intégré.

    Les utilisateurs passent de plus en plus de temps à travailler sur l'édition des requêtes que sur toute autre tâche avec SQL Server Management Studio. Pour cette raison, Azure Data Studio a été conçu pour se concentrer en profondeur sur les fonctionnalités les plus utilisées, avec des expériences supplémentaires disponibles comme des extensions optionnelles. Cela permet à chaque utilisateur de personnaliser son environnement comme il utilise le plus souvent.

    Cette version intègre les changements suivants :

    • Publication de l’extension Central Management Servers : Les Central Management Servers stockent une liste d'instances de SQL Server qui est organisée en un ou plusieurs groupes de serveurs de gestion centralisée. Les utilisateurs peuvent se connecter à leurs propres serveurs CMS existants et gérer leurs serveurs comme ajouter et supprimer des serveurs.
    • Publication des extensions de l'outil d'administration des bases de données pour Windows :  Cette extension donne accès à deux des workflows les plus utilisées dans SQL Server Management Studio. Les utilisateurs peuvent cliquer avec le bouton droit de la souris sur de nombreux objets différents (tels que Bases de données, Tables, Colonnes, Vues, etc.) et sélectionner Propriétés pour afficher le dialogue Propriétés SSMS pour cet objet. De plus, les utilisateurs peuvent faire un clic droit sur une base de données et sélectionner Générer des scripts pour lancer l'assistant de génération de scripts SSMS bien connu.
    • Amélioration de la comparaison de schéma :
      • Ajout des options Exclude/Include
      • Generate Script ouvre le script après avoir été généré
      • Suppression des barres de défilement doubles
      • Amélioration du formatage et de la mise en page
    • Lorsque les utilisateurs exécutaient des requêtes SQL, les résultats et les messages se trouvaient sur des panneaux empilés. Maintenant ils sont dans des onglets séparés dans un panneau comme dans SSMS.
    • Améliorations de SQL Notebook :
      • Les utilisateurs peuvent maintenant choisir d'utiliser leurs propres installations Python 3 ou Anaconda dans leurs notebooks.
      • Améliorations multiples de la stabilité + corrections
    • Corrections de bugs

     

    Quand utiliser Azure Data Studio ?

    • Vous devez utiliser macOS ou Linux
    • Vous devez vous connecter sur un cluster big data SQL Server 2019
    • Vous passez plus de temps à éditer ou exécuter des requêtes
    • Vous voulez de visualiser rapidement des graphiques et de visualiser des ensembles de résultats
    • Vous avez un besoin minimal d’assistants
    • Vous n'avez pas besoin de faire de configuration administrative profonde

    Quand utiliser SQL Server Management Studio ?

    • Vous passez la plupart de votre temps à des tâches d'administration de bases de données.
    • Vous avez besoin de faire une configuration administrative importante
    • Vous effectuez la gestion de la sécurité, y compris la gestion des utilisateurs, l'évaluation des vulnérabilités et la configuration des éléments de sécurité.
    • Vous utilisez les rapports pour SQL Server Query Store
    • Vous devez faire des optimisations de la performance et utiliser des tableaux de bord
    • Vous avez besoin d'accéder aux serveurs enregistrés et de contrôler les services SQL Server sous Windows

    Plus d’informations: https://cloudblogs.microsoft.com/sqlserver/2019/06/06/the-june-release-of-azure-data-studio-is-now-available/

    Pour rappel, ces outils sont disponibles depuis Windows, macOS, et Linux pour permettre de gérer SQL Server, Azure SQL Managed Instance, Azure SQL Database, Azure SQL Data Warehouse, et SQL Server 2019 Big Data Clusters.

    Télécharger Azure Data Studio

  • Nouvelle version 18.1 de SQL Server Management Studio

    SQL Server Management Studio a été décorrélé de l’installation de SQL Server depuis la version 2016, il est maintenant possible de télécharger l’outil séparément. La version 18.1 a été mise à disposition et permet de se connecter de SQL Server 2008 à SQL Server 2017.

    Cette nouvelle version apporte :

    • Les diagrammes de base de données sont de retours.
    • Retour de l’outil ssbdiagnose.
    • Les paramétrages Intellisense ne sont plus ignorés
    • Le support de la planification des packages SQL Server Integration Services (SSIS) est désormais disponible dans le catalogue SSIS d'Azure ou dans le système de fichiers d'Azure.
    • Microsoft a corrigé le problème où SSMS sortait immédiatement après l'affichage de l'écran d'accueil (splash screen).
    • Microsoft a également corrigé un problème qui causait l'échec de l'installation du SSMS lorsque le chemin du journal d'installation contenait des espaces. 

    Plus d’informations sur la Release Notes

    Télécharger SQL Server Management Studio (SSMS) 18.1

  • [Intune] Fin de support des versions du SDK Intune App pour iOS inférieures à 8.1.1

    Microsoft a annoncé dans le centre de messages Office 365 (MC181399), la fin de support des applications iOS construites avec le SDK Intune App dont la version est inférieure à 8.1.1. A partir de septembre 2019, vos applications iOS construites avec le SDK Intune devront fonctionner avec une version 8.1.1 ou ultérieure. Ce changement sera effectif avec la sortie d’iOS 13.

    Ce changement concerne donc le SDK Intune App et l’outil d’encapsulation d’applications Intune (App Wrapping Tool). Ces derniers permettent de protéger les données d’entreprises via des fuites vers des applications non approuvées. Les versions 8.1.1 ou ultérieures utilisent des clés de chiffrement 256-bits. Les versions inférieures utilisent des clés 128-bits. A partir de ce moment, les applications créées avec le SDK dont la version est inférieure à 8.1.1 ne seront plus en capacité de partager des données avec des applications créées avec le SDK dont la version est 8.1.1 ou ultérieure.

    Vous devez donc éventuellement republier les applications qui doivent être intégrées avec le SDK 8.1.1 ou ultérieur.

    Pour les applications Microsoft ou tierces, vous devez vous assurer de déployer la dernière version à vos utilisateurs.

    Plus d’informations sur : https://docs.microsoft.com/en-us/intune/apps-prepare-mobile-application-management

  • [Intune/Azure AD] Comment réaliser de l’Hybrid Azure AD Join ou utiliser Microsoft Intune avec un proxy ?

    Les Proxys… Cet article s’attache à retranscrire plusieurs heures de dépannage pour utiliser les différents services/mécanismes Cloud proposés par Microsoft lorsqu’un proxy est utilisé à l’intérieur de l’entreprise. Parmi les services et mécanismes abordés, on retrouve :

    • La jointure hybride à Azure Active Directory (Hybrid Azure AD Join)
    • La jointure à Azure Active Directory (Azure AD Join)
    • L’utilisation de Microsoft Intune dont :
      • L’enregistrement (automatique via la fonctionnalité Azure AD/GPO ou manuel) dans Microsoft Intune
      • La récupération des stratégies par Microsoft Intune
      • Le téléchargement/déploiement d’applications universelles/modernes issues du Microsoft Store
      • Le téléchargement/déploiement d’applications au format MSI via le canal MDM
      • Le téléchargement/installation de l’extension Intune Management Extension (aussi appelé SideCar) utilisées pour installer des applications Win32 ou exécuter des scripts PowerShell
      • Le téléchargement/déploiement d’applications Win32 via l’Intune Management Extension (aussi appelé SideCar).
    • Le téléchargement/l’installation des mises à jour de sécurité ou des mises à niveau de Windows 10 via Windows Update/Windows Update for Business.

    Avant d’aller plus loin dans cet article, je tenais à rappeler qu’il existe différentes architectures de proxy. Il n’est pas possible à ma connaissance d’utiliser un proxy qui requiert une authentification par utilisateur pour les services plus haut. Cet article s’attache à rendre possible la configuration pour des proxys où l’administrateur permet de configurer des exceptions d’authentification pour certaines URLs.

    La configuration de l’environnement se détaille en deux grandes parties :

    • Configuration des exceptions d’authentification pour certaines URLs sur le proxy en lui-même
    • Configuration locale de la machine pour les différents services utilisés par la gestion moderne.

    Configuration de l’infrastructure (serveur proxy)

    Je ne rentrerais pas dans le détail de la configuration de l’infrastructure et du serveur proxy car les étapes dépendent des proxys utilisés. Néanmoins, cette partie s’attache à détailler les URLs connues (à date du 03-06-2019) pour les différents services :

    Service

    Fonctionnalité

    Usage

    URLs à autoriser

    Service d’activation

    Windows 10 Subscription Activation

    Active Windows 10 avec une licence Microsoft 365

    • https://go.microsoft.com
    • http://go.microsoft.com
    • https://login.live.com
    • http://crl.microsoft.com
    • https://activation.sls.microsoft.com
    • https://validation.sls.microsoft.com
    • https://activation-v2.sls.microsoft.com
    • https://validation-v2.sls.microsoft.com
    • https://displaycatalog.mp.microsoft.com
    • https://displaycatalog.md.mp.microsoft.com
    • https://licensing.mp.microsoft.com
    • https://licensing.md.mp.microsoft.com
    • https://purchase.mp.microsoft.com
    • https://purchase.md.mp.microsoft.com

     

    Azure Active Directory

    Azure AD Join
    Hybrid Azure AD Join

    Utiliser pour créer une relation de confiance/appartenance avec le tenant Azure AD

    • https://login.live.com
    • https://login.microsoftonline.com
    • https://account.live.com 
    • https://signup.live.com
    • https://account.azureedge.net
    • https://secure.aadcdn.microsoftonline-p.com
    • https://enterpriseregistration.windows.net
    • https://EnterpriseEnrollment-s.manage.microsoft.com
    • https://device.login.microsoftonline.com

    Microsoft Intune

    Enregistrement dans Microsoft Intune (Automatique ou manuel)

    Récupération des stratégies Microsoft Intune

    Déploiement d’applications MSI (Canal MDM)

     

    Gestion des périphériques Windows 10

    • https://login.microsoftonline.com
    • https://portal.manage.microsoft.com
    • https://m.manage.microsoft.com
    • https://sts.manage.microsoft.com
    • https://Manage.microsoft.com
    • http://i.manage.microsoft.com
    • https://r.manage.microsoft.com
    • https://a.manage.microsoft.com
    • http://p.manage.microsoft.com
    • http://EnterpriseEnrollment.manage.microsoft.com
    • http://EnterpriseEnrollment-s.manage.microsoft.com
    • https://portal.fei.msua01.manage.microsoft.com
    • https://m.fei.msua01.manage.microsoft.com
    • https://fef.msua06.manage.microsoft.com
    • https://wip.mam.manage.microsoft.com
    • https://mam.manage.microsoft.com
    • https://enterpriseregistration.windows.net

    Dans le détail, vous retrouvez des URLs plus précises (exemple : fei.msuc05.manage.microsoft.com) correspondant aux sous-services qui peuvent être contactés. Je vous recommande en lieu et place d’utiliser l’URL : *.manage.microsoft.com

    Microsoft Intune Management Extension (Win32 Apps & PowerShell Scripts)

    Installation de l’agent Intune Management Extension

    Déploiement d’applications Win32 via l’Intune Management Extension

    Déploiement d’application Win32 ou de scripts PowerShell

    • https://graph.windows.net
    • https://*.manage.microsoft.com, 
    • https://*.officeconfig.msocdn.com
    • https://config.office.com
    • https://*.azureedge.net

    Note : Delivery Optimization est utilisé par cette fonctionnalité et les URLs associées doivent être autorisées.

    Windows Update / Windows Update for Business

    p

     

    Déploiement de mises à jour logicielles

    • http://windowsupdate.microsoft.com
    • http://*.windowsupdate.microsoft.com
    • https://*.windowsupdate.microsoft.com
    • http://*.update.microsoft.com
    • https://*.update.microsoft.com
    • http://*.windowsupdate.com
    • http://download.windowsupdate.com
    • http://download.microsoft.com
    • http://*.download.windowsupdate.com
    • http://wustat.windows.com
    • http://ntservicepack.microsoft.com
    • https://*.ws.microsoft.com
    • http://*.ws.microsoft.com
    • fs.microsoft.com

    Note : Delivery Optimization est utilisé par cette fonctionnalité et les URLs associées doivent être autorisées.

    Delivery Optimization

    Utilisé par Windows Update for Business & Microsoft Intune Management Extension

    Utilisé pour le téléchargement des binaires et permettre du P2P

    • *.dl.delivery.mp.microsoft.com
    • *.delivery.mp.microsoft.com
    • *.emdl.ws.microsoft.com
    • *.download.windowsupdate.com
    • *.windowsupdate.com
    • *.do.dsp.mp.microsoft.com
    • cs9.wac.phicdn.net
    • tsfe.trafficshaping.dsp.mp.microsoft.com

    Microsoft Store, Microsoft Store for Business

    Déploiement d’applications Microsoft Store

     

    • .md.mp.microsoft.com
    • https://*displaycatalog.mp.microsoft.com
    • login.live.com
    • login.windows.net
    • account.live.com
    • clientconfig.passport.net
    • windowsphone.com
    • https://*.wns.windows.com
    • *.microsoft.com
    • *.s-microsoft.com
    • pti.store.microsoft.com
    • pti.store.microsoft.com.unistore.akadns.net
    • storeedgefd.dsx.mp.microsoft.com
    • markets.books.microsoft.com
    • http://storecatalogrevocation.storequality.microsoft.com
    • https://img-prod-cms-rt-microsoft-com*
    • https://store-images.microsoft.com

    Note : Microsoft publie une page de référence par version de Windows 10 (par exemple pour la version 1903). La liste des URLs est par expérience non exhaustive.

     

    Configuration des machines Windows 10

    Voici un tableau qui résume les différentes configurations à déployer localement pour permettre l’utilisation du service/mécanisme cité. Pour chaque service, vous retrouvez la configuration manuelle nécessaire lors de l’usage d’un proxy ou dans le meilleur des cas la configuration automatique recommandée par Microsoft. La dernière colonne décrit si le service effectue des requêtes directes de résolution de nom DNS externe. En effet, certains clients ne permettent pas la résolution de nom DNS externes par des machines internes (configuration qui requiert la résolution par une requête via le proxy de l’entreprise).

    Service/Mécanisme

    Service sur lequel se repose le téléchargement

    Configuration manuelle nécessaire

    Configuration automatique recommandée

    Requête directe de résolution de nom DNS externe

    Log pour dépanner

    Azure Active Directory

    Jointure Azure AD

    N/A

    Proxy Utilisateur (Non détaillé dans cet article car déjà en place lorsqu’un proxy est présent)

    Utilisation de Web Proxy Auto-Discovery (WPAD)

    Non

    Observateur d’événements :

    • Microsoft/Windows/AAD
    • Microsoft/Windows/User Device Registration

    Utilisation de la commande dsregcmd

    Jointure Hybrid Azure AD

    N/A

    Proxy Machine
    +
    Proxy Utilisateur (pour récupérer l'AzureADPrt)

    Utilisation de Web Proxy Auto-Discovery (WPAD)

    Non

    Observateur d’événements :

    • Microsoft/Windows/AAD
    • Microsoft/Windows/User Device Registration

    Utilisation de la commande dsregcmd

    Microsoft Intune

    Enregistrement dans Microsoft Intune (Automatique ou manuel)

    Device Management Enrollment Service

    Proxy Machine
    +
    Proxy Utilisateur (pour récupérer l'AzureADPrt)

    Utilisation de Web Proxy Auto-Discovery (WPAD)

    Non

    Observateur d’événements :

    • Microsoft/Windows/AAD
      Microsoft/Windows/User Device Registration
    • Microsoft/Windows/DeviceManagement-Enterprise-Diagnostics-Provider
    • Microsoft/Windows/Provisioning-Diagnostics-Provider
    • Microsoft/Windows/ModernDeployment-Diagnostics-Provider

     

    Commande : mdmdiagnosticstool.exe -area DeviceEnrollement -cab c:\temp\ DeviceEnrollement.cab

    Récupération des stratégies Microsoft Intune

    N/A

    Proxy Machine

    Utilisation de Web Proxy Auto-Discovery (WPAD)

    Non

    Observateur d’événements :

    • Microsoft/Windows/DeviceManagement-Enterprise-Diagnostics-Provider
    • Microsoft/Windows/Provisioning-Diagnostics-Provider

     

    Commande : mdmdiagnosticstool.exe -area DeviceProvisioning -cab c:\temp\ DeviceEnrollement.cab

    Déploiement d’applications Microsoft Store

    N/A

    Proxy Machine
    +
    Proxy BITS pour le compte LocalSystem

    Utilisation de Web Proxy Auto-Discovery (WPAD)

    Non

    Observateur d’événements :

    • Microsoft/Windows/DeviceManagement-Enterprise-Diagnostics-Provider
    • Microsoft/Windows/AppXDeployment & AppXDeployment-Server

    Déploiement d’applications MSI (Canal MDM)

    N/A

    Proxy Machine
    +
    Proxy BITS pour le compte LocalSystem

    Utilisation de Web Proxy Auto-Discovery (WPAD)

    Non

    Observateur d’événements : Microsoft/Windows/DeviceManagement-Enterprise-Diagnostics-Provider

    Installation de l’agent Intune Management Extension

    N/A

    Proxy Machine
    +
    Proxy BITS pour le compte LocalSystem

    Utilisation de Web Proxy Auto-Discovery (WPAD)

    Non

    Observateur d’événements : Microsoft/Windows/DeviceManagement-Enterprise-Diagnostics-Provider

    C:\ProgramData\Microsoft\IntuneManagementExtension\Logs\IntuneManagementExtension.log

    Déploiement d’applications Win32 via l’Intune Management Extension

    Delivery Optimization (DO) 1

    Proxy Machine
    +
    Proxy BITS pour le compte LocalSystem
    +
    Proxy BITS pour le compte NetworkService

    Utilisation de Web Proxy Auto-Discovery (WPAD)

    Oui

    C:\ProgramData\Microsoft\IntuneManagementExtension\Logs\IntuneManagementExtension.log

    Windows Update for Business / Microsoft Update

    Installation des mises à jour Windows 10

    Delivery Optimization (DO) 1

    Proxy Machine
    +
    Proxy BITS pour le compte LocalService
    +
    Proxy BITS pour le compte NetworkService

    Utilisation de Web Proxy Auto-Discovery (WPAD)

    Oui

    Observateur d’événements : Microsoft/Windows/WindowsUpdateClient

    Get-WindowsUpdateLog

     

    1 Les services qui font appel à Delivery Optimization sont soumis aux contraintes de ce dernier. Le proxy de l’entreprise doit supporter des requêtes de type byte-range requests et permettre la résolution de requêtes DNS pour des noms de domaine externes.

    Note : La liste est bien entendu non exhaustive et correspond à des services que j’ai eu l’occasion d’essayer.

    La méthode principalement recommandée par Microsoft est l’utilisation du protocole Web Proxy Auto-Discovery (WPAD) pour la découverte dynamique du proxy. C’est notamment la seule solution pour utiliser Windows Autopilot (non abordé dans cet article) dans des environnements proxyfiés.
    Pour utiliser cette méthode, je vous renvoie vers Internet où des articles décrivent plutôt bien cette méthode.

    L’objet de cet article est plutôt la mise en œuvre de la configuration manuelle et nous aborderons chacune des configurations.
    Note : Je vous recommande de faire des tests sur une ou plusieurs machines avant de déployer globalement ces configurations.

     

    Proxy Machine

    Le proxy machine est la configuration la plus commune et la plus simple à réaliser. Il doit être configuré pour presque tous les mécanismes cités dans le tableau.

    Pour afficher la configuration, la commande suivante doit être utilisée : netsh winhttp show proxy

    Ce dernier se configure manuellement via la commande suivante :
    netsh winhttp set proxy <proxy>:<port> "<Liste d’exclusion, séparée par des ";">"
    Exemple : netsh winhttp set proxy proxy.corp.local:8282 "192.168.*;corp.local"


    Pour importer la configuration réalisée sur Internet Explorer, vous pouvez exécuter la commande : netsh winhttp import proxy source=ie
    Pour réinitialiser le proxy, vous pouvez utiliser la commande : netsh winhttp reset proxy

    Si vous souhaitez opérer la configuration par GPO, vous pouvez utiliser les Group Policy Preference (GPP) en procédant à la création de la valeur de registre associée.

    1. Vous devez donc manuellement configurer le proxy sur une machine test
    2. Utiliser ensuite cette machine test pour récupérer la valeur de la clé :
      • Emplacement : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections
      • Nom : WinHttpSettings
      • Type : Binary
    3. Ouvrez la console GPMC et procéder à la création d’une GPO. Nommez la GPO
    4. Editez la GPO et naviguez dans Computer Configuration – Preferences – Windows Settings – Registry.
    5. Choisissez New puis Registry Item.
    6. Dans le champ Action, choisissez Update puis cliquez sur le bouton avec les … à droite du chemin de la clé.
    7. Naviguez et sélectionnez la clé sur la machine de test. Ceci vous récupère le chemin, la ruche, la valeur, le type de valeur et la donnée binaire associée.
    8. Cliquez sur OK.
    9. Procédez ensuite au déploiement de la GPO et validez la configuration sur une autre machine de test via la commande netsh winhttp show proxy

    Plus d’informations sur ce billet qui décrit bien la configuration : WinHTTP Proxy Settings deployed by GPO

     

    Proxy du service BITS

    Le proxy du service BITS est utilisé par les comptes de service pour effectuer des opérations de téléchargement. Les configurations dépendent du mécanisme ou de la fonctionnalité et du compte de service avec lequel s’exécute le service associé.
    On retrouve donc la capacité de configurer le proxy BITS pour les comptes :

    • LOCALSYSTEM
    • NETWORKSERVICE
    • LOCALSERVICE

    Pour connaître les configurations à réaliser pour le mécanisme/la fonctionnalité choisi, vous pouvez vous référer au tableau.

    Pour afficher la configuration, la commande suivante doit être utilisée :
    bitsadmin /UTIL /GETIEPROXY <COMPTE DE SERVICE>

    Ce dernier se configure manuellement via la commande suivante :

    bitsadmin /Util /SetIEProxy <COMPTE DE SERVICE> MANUAL_PROXY <proxy>:<port> "<Liste d’exclusion, séparée par des ";">"
    Exemples :

    • bitsadmin /Util /SetIEProxy LOCALSYSTEM MANUAL_PROXY proxy.corp.local:8282 "192.168.*;corp.local"
    • bitsadmin /Util /SetIEProxy NETWORKSERVICE MANUAL_PROXY proxy.corp.local:8282 "192.168.*;corp.local"

     

    Pour réinitialiser le proxy, vous pouvez utiliser la commande :
    bitsadmin /Util /SetIEProxy <COMPTE DE SERVICE> AUTODETECT

    Exemples :

    • bitsadmin /Util /SetIEProxy NETWORKSERVICE AUTODETECT
    • bitsadmin /Util /SetIEProxy LOCALSYSTEM AUTODETECT

    Plus d’informations sur la commande dans la documentation.

    Si vous souhaitez opérer la configuration par GPO, vous pouvez aussi utiliser les Group Policy Preference (GPP) en procédant à la création de la valeur de registre associée.

    1. Vous devez donc manuellement configurer le proxy BITS pour les comptes souhaités sur une machine test
    2. Utiliser ensuite cette machine test pour récupérer la valeur de la clé :

    Compte de service

    Emplacement de la clé

    Nom de la valeur

    Type de valeur

    LocalSystem

    HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connection

    DefaultConnectionSettings

    Binary

    NetworkService

    HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections

    DefaultConnectionSettings

    Binary

    LocalService

    HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections

    DefaultConnectionSettings

    Binary

     

    1. Ouvrez la console GPMC et procéder à la création d’une GPO. Nommez la GPO
    2. Editez la GPO et naviguez dans Computer Configuration – Preferences – Windows Settings – Registry.
    3. Choisissez New puis Registry Item.
    4. Dans le champ Action, choisissez Update puis cliquez sur le bouton avec les … à droite du chemin de la clé.
    5. Naviguez et sélectionnez la clé sur la machine de test. Ceci vous récupère le chemin, la ruche, la valeur, le type de valeur et la donnée binaire associée.
    6. Répétez l’opération à partir de l’étape 5 pour les comptes de service que vous ciblez en fonction des fonctionnalités.
    7. Cliquez sur OK.
    8. Procédez ensuite au déploiement de la GPO et validez la configuration sur une autre machine de test via la commande bitsadmin /UTIL /GETIEPROXY <COMPTE DE SERVICE>

     

    Environnement sans résolution de nom DNS externe

    Certains environnements ne permettent pas la résolution de nom DNS externes directement via des requêtes DNS. Le seul moyen de sortir sur Internet s’effectue via le proxy et via des requêtes TCP. Ce cas de figure pose des problèmes avec le déploiement d’applications Win32 via l’Intune Management Extension et les mises à jour logicielles via Microsoft Update / Windows Update for Business.

    Vous devez donc configurer un redirecteur conditionnel sur votre infrastructure DNS interne pour permettre le déploiement des applications Win32 et le déploiement des mises à jour logicielles. Le redirecteur conditionnel (conditional forwarder) peut être :

    • Complet pour l’ensemble des noms de domaine
    • Limité aux noms de domaine spécifiés pour les fonctionnalités de déploiement d’applications Win32 via l’Intune Management Extension et les mises à jour logicielles via Microsoft Update / Windows Update for Business (voir mon tableau plus haut)

    Dans un prochain article, je détaillerais comment dépanner et diagnostiquer chacune des fonctionnalités / Services.

    Bonne Configuration !

  • [AIP] Support de TLS 1.2 et fin de support des clients AIP

    Microsoft vient d’annoncer qu’à partir de maintenant, Azure Information Protection ne supporte que TLS 1.2 uniquement. Ceci a un impact sur les clients Azure Information Protection puisque les versions inférieures à 1.4 n’auront plus la capacité de récupérer les stratégies à partir du service AIP.

    Ces versions ne sont déjà plus supportées depuis plus d’un an et demi.

  • [Azure AD] Impossible de démarrer l’éditeur de règles de synchronisation d’Azure AD Connect

    Je suis tombé sur un problème assez simple mais qui pourrait vous faire perdre du temps, en voulant éditer les règles de synchronisation d’Azure AD Connect. En ouvrant l’outil Azure AD Connect Synchronization Rules Editor, aucune règle n’est listée. Si vous cliquez sur View Errors, une erreur COM est renvoyée :

    Retrieving the COM class factory for remote component with CLSID {835BEE60-8731-4159-8BFF-941301D76D05} from machine AAD failed due to the following error: 80070005 AAD.

    at System.Management.Automation.Internal.PipelineProcessor.SynchronousExecuteEnumerate(Object input, Hashtable errorResults, Boolean enumerate)

    at System.Management.Automation.Runspaces.LocalPipeline.InvokeHelper()

    at System.Management.Automation.Runspaces.LocalPipeline.InvokeThreadProc()

     

    Si vous creusez dans le journal d’événements System, vous pouvez voir un problème de permissions Local Activation.

    Vérifiez donc que vous êtes administrateur local de la machine, puis exécutez l’outil Synchronization Rules Editor en tant qu’administrateur pour résoudre le problème.

  • [Intune] Microsoft désactive temporairement les stratégies de conformité Mobile Threat Defense (MTD)

    Microsoft vient de signaler un problème concernant les stratégies de conformité Mobile Threat Defense (MTD) de Microsoft Intune. Ces dernières ont été désactivées par Microsoft pour l’ensemble des vendeurs MTD pour ne pas être prise en compte les stratégies d’accès conditionnel car la fonctionnalité n’a pas le comportement attendu.

    Si vous installez ou désinstallez une nouvelle application, elle ne sera pas envoyée au connecteur Mobile Threat Defense pour évaluation. Si aujourd'hui vous disposez d'une stratégie de conformité Mobile Threat Defense, les données applicatives les plus récentes n'ont pas été évaluées.

    Il se peut que vous ayez des utilisateurs bloqués de façon inattendue. Si vous souhaitez débloquer un utilisateur ou un groupe, exemptez-le de la stratégie de conformité Mobile Threat Defense. De même, si vous souhaitez débloquer l'ensemble du tenant, supprimez la règle de conformité ou désactivez la plate-forme en allant dans Intune -> Device compliance -> Mobile Threat Defense.

    Microsoft recommuniquera lorsque le problème sera résolu.

  • [AIP] Mise à jour (1.1) du guide d’accélération du déploiement d’Azure Information Protection

    Microsoft a mis à jour (v1.1) son guide permettant le déploiement accéléré et plus aisé d’Azure Information Protection. Le guide revient surtout sur l’élément le plus difficile d’un projet : les prérequis métiers qui doivent être en place pour la réalisation du projet. Il s'agit donc d'un guide pour aider les décideurs et les ITs à comprendre les meilleures façons de déployer Azure Information Protection et d'éviter les erreurs qui pourraient causer des retards dans le déploiement.

    Le guide aborde :

    • Les concepts et éléments
    • La roadmap
    • Les prérequis généraux
    • La phase de découverte
    • La phase de Classification
    • La phase de protection
    • La phase de supervision
    • Les bonnes pratiques

    Télécharger Azure Information Protection Deployment Acceleration Guide

  • [Azure AD] Des kits d’adoption pour les fonctionnalités d’Azure AD

    Microsoft a publié une série de kits d’adoption pour les fonctionnalités proposées par Azure Active Directory. Ces kits d’adoption comprennent des liens afin de répondre à toutes les phases :

    1. Informations basiques de connaissances à propos du produit, service ou des fonctionnalités
    2. Des trainings pour former les personnes qui vont implémenter/déployer la fonctionnalité
    3. Des informations de planification pour guider les grandes entreprises et les assister
    4. Des modèles et des informations à communiquer aux utilisateurs finaux (posters, modèles d’emails, stickers, vidéos, etc.)
    5. Des cahiers de recette et tests
    6. Des ressources pour aider au déploiement
    7. Des éléments pour la gestion opérationnelle, le dépannage et la supervision
    8. Des informations concernant le support et les retours éventuels que vous pourriez effectuer

    Les fonctionnalités suivantes sont couvertes :

    • Azure AD Application Proxy
    • Azure AD B2B
    • Azure AD Company Branding
    • Azure AD Conditional Access (Accès conditionnel)
    • Azure AD Connect Health
    • Azure AD Group Management
    • Azure AD Identity Protection
    • Azure AD Multi Factor Authentication
    • Azure AD Privileged Identity Management
    • Azure AD Seamless Single Sign-On
    • Azure AD User Provisioning

    Télécharger Azure AD Adoption Kits

  • [Intune] Déploiement de profil WiFi en erreur sur des périphériques Android Enterprise Work Profile

    L’équipe Microsoft Intune a publié un billet sur son blog pour signaler un problème sur les profils Wi-Fi à destination des périphériques enregistrés Android Enterprise en mode Work Profile. Le problème semble toucher les profils WiFi qui utilisent des certificats. Ces derniers sont constamment remontés en erreur lorsque les certificats sont basés sur la machine et non sur l’utilisateur. Il semble aussi que le nom de sujet utilisé soit configuré avec CN={{AAD_Device_ID}.

    Microsoft a découvert un problème dans le traitement. Actuellement l’attribut UPN est un prérequis lors de la sélection du certificat lors de la création du profile Wi-Fi.

    Pour résoudre ce problème, il suffit d’ajouter un nom de sujet alternatif (Subject Alternative Name) avec un attribut UPN à votre profile de certificat SCEP basé sur la machine.

    Plus d’informations sur: Support Tip: AE Work Profile Device + Wi-Fi Profile “Error” when Using Device-Based Certs

  • [SCCM 1606-1902] La configuration de la fonctionnalité Server Group ne permet pas de patcher 100% des serveurs en même temps

    Un de mes clients m’a transféré un problème (merci à lui) qui survient sur la fonctionnalité Server Group de System Center Configuration Manager. Pour rappel, cette fonctionnalité permet de configurer les paramètres de groupe de serveurs d'une collection pour définir combien, quel pourcentage ou dans quel ordre les périphériques de la collection installeront les mises à jour logicielles. Vous pouvez également configurer des scripts PowerShell de pré-déploiement et post-déploiement pour exécuter des actions personnalisées.

    Le problème décrit ici touche toutes les versions de System Center Configuration Manager depuis que la fonctionnalité est disponible (1606 à 1902). En l’occurrence, il intervient dans le scénario suivant :

    • Vous configurez une collection avec plusieurs machines.
    • L’option All devices are part of the same server group est activée.
    • Vous configurez les paramétrages pour utiliser mettre à jour 100% des machines au même moment. L’interface permet cette configuration bien qu’elle puisse paraître non censée vis-à-vis des cas d’usages initiaux de la fonctionnalité :

    Le client souhaitait en l’occurrence utiliser la fonctionnalité Server Group pour exécuter des scripts de pré et post déploiement sur un ensemble de machines qui devaient être mises à jour en même temps.  

    Dans ce cas de figure et dans les versions actuelles, la mise à jour est faite de manière séquentielle ; c’est-à-dire une machine après l’autre. Ceci ne correspond pas au comportement attendu.

    Microsoft devrait modifier le comportement dans System Center Configuration Manager 1906. En attendant, vous pouvez appliquer la solution de contournement suivante :

    1. Via SQL Server Management Studio, connectez-vous au serveur de base de données.
    2. Ouvrez le nœud des procédures stockées (stored procedures) et identifiez la procédure SpDeploymentMutex
    3. Cette procédure est responsable de la délivrance du verrou utilisé par la fonctionnalité Server Group.
    4. Sauvegardez la procédure stockée en réalisant un export.
    5. Identifiez ensuite le code suivant dans la procédure :

    if @UseClusterPercentage = 1 or @UseClusterPercentage = 2

            begin

                if @UseClusterPercentage <> 0

                begin

                    set @AllowedCount = @ClusterCount

                end

    1. Remplacez ligne en gras par : if @UseClusterPercentage = 2
    2. Sauvegardez la procédure stockée.
    3. Validez le comportement sur votre infrastructure
  • [Azure AD] Microsoft annonce la fin du MFA Server On-Premises

    Microsoft a annoncé qu’il ne sera plus possible d’effectuer de nouveaux déploiements de MFA Server On-Premises à partir du 1er Juillet 2019. Les entreprises devront donc utiliser l’authentification à facteurs multiples (MFA) fournit par Azure AD MFA.

    Les entreprises qui ont déjà activé un MFA Server On-Premises avant le 1er Juillet 2019 pourront télécharger la dernière version, recevoir les mises à jour futures et générer des activations comme habituellement. Microsoft a pour objectif à longs termes de déprécier MFA Server mais n’a pas fourni de date précise quant à sa fin de vie.

    Azure AD MFA couvre largement les scénarios suivants :

    • Un environnement d’identité Cloud uniquement avec de l’authentification moderne. Ce mode ne requiert aucun prérequis.
    • Des scénarios d’identité hybrides avec Azure AD Connect pour synchroniser ou déférer avec l’environnement On-Premises
    • Pour les applications héritées On-Premises publiées pour un accès Cloud, vous pouvez utiliser Azure AD Application Proxy pour à la fois publier l’application dans le Cloud et offrir les mécanismes d’authentification à facteurs multiples.
  • [Windows] L’observateur d’événements peut se fermer et renvoyer une erreur lors de l’utilisation de vues personnalisées

    Microsoft vient de publier un article dans la base de connaissances concernant un problème touchant Windows 10, Windows Server 2019, Windows Server 2012 R2, Windows 8.1, Windows Server 2012, Windows 7 SP1,

    Lorsque vous essayez de développer, visualiser ou créer des vues personnalisées dans l'Observateur d'événements, vous pouvez recevoir l'erreur "MMC has detected an error in a snap-in and will unload it." et l'application peut cesser de répondre ou se fermer. Vous pouvez également recevoir la même erreur en utilisant Filter Current Log dans le menu Action avec les vues ou journaux intégrés. Les vues intégrées et les autres fonctions de l'Observateur d'événements devraient fonctionner comme prévu.

    Le problème survient suite à l’application du dernier correctif cumulatif :

    • KB4503293LCU for Windows 10, version 1903.
    • KB4503327LCU for Windows 10, version 1809 and Windows Server 2019.
    • KB4503286LCU for Windows 10, version 1803.
    • KB4503284LCU for Windows 10, version 1709.
    • KB4503279LCU for Windows 10, version 1703.
    • KB4503267LCU for Windows 10, version 1607 and Windows Server 2016.
    • KB4503291LCU for Windows 10, version 1507.
    • KB4503276Monthly Rollup for Windows 8.1 and Windows Server 2012 R2.
    • KB4503290Security-only update for Windows 8.1 and Windows Server 2012 R2.
    • KB4503285Monthly Rollup for Windows Server 2012 and Windows Embedded 8 Standard
    • KB4503263Security-only update for Windows Server 2012 and Windows Embedded 8 Standard-
    • KB4503292Monthly Rollup for Windows 7 SP1 and Windows Server 2008 R2 SP1
    • KB4503269Security-only update for Windows 7 SP1 and Windows Server 2008 R2 SP1
    • KB4503273Monthly Rollup for Windows Server 2008 SP2
    • KB4503287Security-only update for Windows Server 2008 SP2

     

    Microsoft travaille sur une résolution d’ici fin juin.

    Une solution de contournement est proposée par Microsoft : KB4508640 Event Viewer may close or you may receive an error when using Custom Views

  • [Windows 10] Windows 10 Enterprise LTSC 2019 se voit proposer la mise à jour vers Windows 10 1903

    Des retours font apparaître que la version de Windows 10 Enterprise LTSC 2019 se voit proposer par erreur, la mise à jour vers Windows 10 1903 via Windows Update. Les versions Long-Term Servicing Channel sont des versions spécifiques supportées pour 10 ans (5 ans de support principal, 5 ans de support étendu) et ciblent les périphériques critiques à usages industriels (Chaine de production, distributeurs de billets, etc.). Ces versions ne doivent pas se faire proposer des versions qui sont dans le canal semestriel et plus généralement aucune mise à niveau vers une version supérieure. La mise à niveau est contrôlée et doit normalement être faite manuellement par l’entreprise.

    Ce bug survient pour deux raisons :

    • Windows 10 Enterprise LTSC 2019 est basé sur Windows 10 1809.
    • Un bug est présent dans le système de détection des mises à jour de la mise à niveau Windows 10 1903 via le nouveau modèle Unified Update Platform (UUP).

    La mise à niveau est affichée dans Windows Update mais n’est ni téléchargée ni installée.

  • [Azure AD] Les nouveautés d’Azure Active Directory en mai 2019

    Microsoft a introduit un ensemble de nouveautés dans Azure Active Directory en mai 2019.

    Microsoft apporte les nouveautés suivantes :

    • On retrouve un rapport d’utilisation et d’aperçu sur les applications d’entreprise pour obtenir des informations sur :
      • Le top des applications utilisées par votre organisation
      • Les applications avec les connexions ayant échouées
      • Le top des erreurs de connexion pour chaque application

    • De nouveaux tutoriaux sont disponibles pour vous aider à configurer le provisionnement des utilisateurs pour les applications cloud suivantes : Comeet, DynamicSignal, KeeperSecurity et Dropbox.
    • Disponibilité Générale du Secure Score Identité dans Azure AD permettant de :
      • Mesurer objectivement votre posture de sécurité sur l'identité, basée sur un score entre 1 et 223.
      • Planifier vos améliorations sur la sécurité de l'identité
      • Passer en revue le succès de vos améliorations en matière de sécurité

    • Disponibilité Générale d’une nouvelle expérience d’enregistrement d’applications permettant une meilleure gestion des applications, un processus simplifié d’enregistrement et des informations de démarrage.
    • Amélioration de l’expérience de création et de gestion des groupes dans le portail Azure AD pour permettre notamment :
      • Le filtrage de base par type d'adhésion et type de groupe.
      • L’ajout de nouvelles colonnes, telles que Source et Adresse e-mail.
      • La possibilité de sélectionner plusieurs groupes, membres et listes de propriétaires pour une suppression facile.
      • La possibilité de choisir une adresse email et d'ajouter des propriétaires lors de la création du groupe.
    • L’API Risky Users d’Azure AD Identity Protection permet maintenant de récupérer l’historique de risque des utilisateurs, de rejeter les utilisateurs à risque et confirmer qu'ils sont compromis.
    • De nouvelles applications fédérées sont ajoutées à la galerie d’applications Azure AD avec notamment : Freedcamp, Real Links, Kianda, Simple Sign, Braze, Displayr, Templafy, Marketo Sales Engage, ACLP, OutSystems, Meta4 Global HR, Quantum Workplace, Cobalt, webMethods API Cloud, RedFlag, Whatfix, Control, JOBHUB, NEOGOV, Foodee, et MyVR.
    • Les administrateurs peuvent maintenant configurer une stratégie de nommage pour les groupes Office 365, en utilisant le portail Azure AD. Cette modification permet d'appliquer des conventions de nommage cohérentes pour les groupes Office 365 créés ou édités par les utilisateurs de l’entreprise :
      • En définissant des préfixes ou des suffixes, qui sont automatiquement ajoutés à un nom de groupe.
      • En téléchargeant un ensemble personnalisé de mots bloqués pour votre organisation, qui ne sont pas autorisés dans les noms de groupe (par exemple, "CEO, Paie, RH").

    • Les administrateurs peuvent maintenant créer des stratégies d'accès conditionnel à utiliser par la page d'enregistrement combinée (MFA + SSPR). Cela comprend l'application de stratégies pour permettre l'enregistrement si :
      • Les utilisateurs sont sur un réseau de confiance.
      • Les utilisateurs présentent un faible risque de connexion
      • Les utilisateurs sont sur un périphérique géré.
      • Les utilisateurs acceptent les conditions générales d'utilisation de l’entreprise (CGU).

     

    On retrouve les modifications de service suivantes :

    • La modification du service Azure AD Application Proxy pour prendre en charge uniquement le protocole TLS 1.2. Microsoft commence la modification du service pour les clients qui utilisent déjà uniquement le protocole TLS 1.2 et ne vont pas voir de différences. La dépréciation de TLS 1.0 et 1.1 est prévue pour le 31 août 2019. Vous devez donc vérifier que les connexions client/serveur et navigateur/serveur supportent TLS 1.2.
    • Disponibilité Générale du support des points de terminaison de l’API Microsoft Graph pour les logs d’activités Azure AD.
  • [Intune] Donner l’accès aux utilisateurs et groupes Azure AD à vos administrateurs même si vous avez limiter l’accès aux utilisateurs standards

    Je vous parlais dans un article précédent de l’option permettant de limiter l’accès à l’annuaire Azure Active Directory aux utilisateurs standards. L’activation de cette option a un impact si vous avez mis en place une délégation dans Microsoft Intune qui se base uniquement sur les droits RBAC internes à Microsoft Intune. Vous pouvez donc vous retrouver avec des utilisateurs administratifs (Help Desk, etc.) qui n’accèdent plus aux utilisateurs et aux groupes bien qu’ils aient accès aux restes des fonctionnalités Intune associés à leurs droits RBAC:

    Note : Vous n’observez pas d’impacts si vous attribuez aussi des rôles Azure Active Directory aux personnes qui gèrent Microsoft Intune.

    Pour contourner ce problème, vous pouvez leur associer un rôle d’annuaire Azure Active Directory. Vous avez le choix entre différents rôles en fonction des capacités que vous souhaitez donner :

    • En lecture seul : Security Reader
    • Action sur les utilisateurs et groupes (réinitialisation de mots de passe, etc.) : User Administrator

    Pour attribuez ce rôle, ouvrez le portail Azure et naviguez dans Azure Active Directory – Users – All Users puis sélectionnez l’utilisateur et entrez dans Directory Role. Choisissez Add Assignement et sélectionnez le rôle d’annuaire souhaité.

    Note : Malheureusement l’association se fait utilisateur par utilisateur et non pas via un groupe.

    L’utilisateur administratif aura à nouveau accès aux espaces liés aux utilisateurs et aux groupes.

  • [SCCM 1902] Aidez Microsoft dans la revue de la traduction de Configuration Manager 1902

    Microsoft fait appel à vous pour améliorer la qualité des traductions utilisées dans System Center Configuration Manager 1902. Le produit est traduit dans 18 langues pour l’interface d’administration et 22 pour l’interface cliente. A chaque version de ConfigMgr, Microsoft ajoute ou met à jour des chaines de caractères qui doivent être traduites.

    Le but est donc d’aider Microsoft à la revue de ces chaines de caractères. Si vous êtes intéressés, vous pouvez :

    1. Télécharger les fichiers CAB de revue des interfaces localisées de CM1902 et dézippez les fichiers.
    2. Choisissez les PDFs qui correspondent aux langues que vous voulez revoir.
    3. Lisez les screenshots et les changements d’interfaces
    4. Envoyez des retours en fonction de votre revue
    5. Dans la description, vous devez inclure :
      1. Le nom du PDF que vous avez revue
      2. L’identifiant de l’objet dans l’interface
      3. La description du retour que vous faites.
      4. Votre commentaire ou votre proposition pour remplacer la chaine.

    Plus d’informations sur : Lost in Translation?

  • [SCCM] La Technical Preview 1906 de System Center Configuration Manager est disponible

    Microsoft vient de mettre à disposition la Technical Preview 1906 (5.0.8842.1000) de System Center Configuration Manager. Pour rappel, ConfigMgr a subi une refonte de sa structure pour permettre des mises à jour aisées de la même façon que l’on peut le voir avec Windows 10. Si vous souhaitez installer cette Technical Preview, vous devez installer la Technical Preview 1804 puis utiliser la fonctionnalité Updates and Servicing (nom de code Easy Setup).

     

    System Center Configuration Manager TP 1906 comprend les nouveautés suivantes :

    Administration

    • Support de Windows Virtual Desktop pour permettre de gérer ces environnements virtuels dans Azure. Pour améliorer les performances du client, ConfigMgr désactive désormais les stratégies utilisateur sur tout périphérique qui autorise ces sessions utilisateurs multiples. Même si vous activez les règles utilisateur, le client les désactive par défaut sur ces périphériques, qui incluent Windows Virtual Desktops et Remote Desktop.
    • La console d’administration retrouve un onglet Maintenance Tasks qui permet de voir si la tâche de maintenance est activée, la planification, la dernière date de démarrage, la dernière date d’exécution et si la tâche s’est exécutée avec succès. Cet onglet est disponible dans Administration – Site Configuration – Sites.

    • Lors de l’application d’une mise à jour Configuration, vous pouvez voir l’état de la mise à niveau de la base de données ConfigMgr dans la partie Installation. Ceci permet de voir si la mise à niveau de la base de données est bloquée par un programme. Vous pouvez voir l’identifiant de session qui bloque la base de données.
    • Microsoft introduit la capacité de spécifier des droits RBAC et des étendues de sécurité sur les dossiers (de collections, d’applications, etc.). Si vous avez accès à un objet dans le dossier mais que vous n'avez pas accès au dossier, vous ne pourrez pas voir l'objet.

    • Le hub communautaire déjà introduit dans des versions précédentes, se voit enrichi. Il permet maintenant la récupération de scripts PowerShell, de rapports, d’applications, et d’objets de configuration. Le hub permet de partager ces objets, mais ne partage aucun contenu source associé aux objets. Par exemple, les images de démarrage, les packages de mise à niveau du système d'exploitation ou les packages de pilotes référencés par une séquence de tâches ne sont pas partagés. Actuellement, le hub ne prend pas en charge les dépendances. Si une séquence de tâches inclut l'étape Installer l'application, les applications référencées ne sont pas partagées. Les mots de passe ou autres secrets sont supprimés d'une séquence de tâches avant le partage.
    • Vous pouvez maintenant activer certains nœuds de la console Configuration Manager pour utiliser le service d'administration. Ce changement permet à la console de communiquer avec le SMSProvider via HTTPS au lieu de via WMI. Cela fonctionne pour les nœuds : Administrative Users, Security Roles, Security Scopes, et Console Connections.
    • Management insights inclut une nouvelle règle qui détecte si vous avez activé la méthode de repli d'authentification NTLM moins sécurisée pour le site.

     

    CMPivot

    • CMPivot permet d’utiliser des opérateurs arithmétiques, d'agrégateurs et de la possibilité d'ajouter des jointures de requête pour permettre l'utilisation simultanée du registre et des fichiers. Les éléments suivants ont été ajoutés : opérateurs (Join, Render), opérateurs scalaires (+, -, *, /, %), fonctions d’agrégation (Percentile(),sumif()) et fonctions scalaires . Pour rappel, CMPivot est un nouvel utilitaire dans la console qui permet d'accéder en temps réel à l’état des périphériques dans votre environnement. Il lance immédiatement une requête sur tous les périphériques actuellement connectés dans la collection cible et renvoie les résultats.
    • Ajout des permissions CMPivot au rôle Security Administrator : Read on SMS Script Run CMPivot on Collection, et Read on Inventory Report.

     

    Cloud et Co-Management

    • Un administrateur ou un opérateur du helpdesk peut désormais se connecter à un client via les outils Remote Control sur une machine sur Internet non présente dans le réseau de l’entreprise via la Cloud Management Gateway.
    • La configuration du Co-Management évolue pour permettre de cibler différentes collections de pilote en fonction des charges de travail que vous souhaitez tester. Ce choix se justifie car vous pouvez avoir besoin de population pilote différent lors du passage des stratégies de conformité, ou des configurations de périphériques (par exemple) sur Microsoft Intune.

    • Un nouveau périphérique cogéré peut maintenant automatiquement s’enregistrer dans Microsoft Intune en utilisant le token périphérique Azure AD. Il n'est pas nécessaire d'attendre qu'un utilisateur se connecte au périphérique pour que l'enregistrement automatique commence. Cette modification permet de réduire le nombre de périphérique ayant le statut d’enregistrement Pending user sign in. Pour supporter ce comportement, les clients doivent exécuter Windows 10 version 1803 ou ultérieur.
    • Microsoft introduit une découverte des groupes d'utilisateurs et les membres de ces groupes dans Azure Active directory (Azure AD). Les utilisateurs trouvés dans les groupes Azure AD qui n'ont pas encore été découverts seront ajoutés en tant que ressources utilisateur dans Configuration Manager. Un enregistrement de ressource de groupe d'utilisateurs est créé lorsque le groupe est un groupe de sécurité.

     

    Client

    • Vous pouvez maintenant fournir un lien direct vers un onglet personnalisé dans le Centre Logiciels/Software Center. Le format doit être le suivant : softwarecenter:page=CustomTab1.
    • La notification pour spécifier qu’un nouveau logiciel est disponible, ne s'affichera qu'une seule fois pour un utilisateur pour une application et une révision donnée. L'utilisateur ne verra plus la notification chaque fois qu'il se connectera. Ils ne verront une autre notification pour une application que si elle a changé.
    • Il est maintenant possible de configurer plus de notifications de compte à rebours pour les redémarrages sur les clients. On retrouve deux paramétrages dans les paramétrages client : Specify the snooze duration for computer restart countdown notifications (hours) et Display a temporary notification to the user that indicates the interval before the user is logged off or the computer restarts (minutes).

    • Basé sur les retours UserVoice, les catégories d'utilisateurs pour les déploiements d'applications ciblées par périphérique apparaissent désormais sous forme de filtres dans le Software Center.

     

    Gestion des mises à jour logicielles

    • La catégorie Windows 10, version 1903 and later a été ajouté à Microsoft Update comme produit propre plutôt que de faire partie du produit Windows 10 comme les versions précédentes. Ce changement vous a obligé à effectuer un certain nombre d'étapes manuelles pour vous assurer que vos clients voient ces mises à jour. Microsoft a réduit le nombre d'étapes manuelles que vous devez suivre pour le nouveau produit. Lorsque vous mettez à jour vers la Technical Preview 1906 et que le produit Windows 10 est sélectionné pour la synchronisation, les actions suivantes se produisent automatiquement :
      • Le produit Windows 10, version 1903 and later est ajouté pour la synchronisation.
      • Les règles de déploiement automatique contenant le produit Windows 10 sont mises à jour pour inclure Windows 10, version 1903 and later.
      • Les plans de maintenance sont mis à jour pour inclure le produit Windows 10, version 1903 and later.
    • Vous disposez maintenant d'options de configuration supplémentaires pour la synchronisation des catalogues de mise à jour tiers dans Configuration Manager. Vous pouvez sélectionner les catégories que vous souhaitez synchroniser et la façon dont vous souhaitez télécharger les mises à jour.

     

    Déploiement de système d’exploitation

    • L'étape Install Application, vous pouvez maintenant supprimer le contenu de l'application du cache client après l'exécution de l'étape. Ce comportement est intéressant sur les périphériques avec de petits disques durs ou lors de l'installation successive d'un grand nombre d'applications de grande taille.

    • Basé sur les retours UserVoice, il est maintenant plus facile d'éditer des variables lorsque vous exécutez une séquence de tâches. Après avoir sélectionné une séquence de tâches dans la fenêtre Task Sequence Wizard, la page d'édition des variables de séquence de tâches comprend un bouton Edit. 
    • Basé sur les retours UserVoice, la séquence de tâches définit une nouvelle variable en lecture seule _SMSTSLastContentDownloadLocation. Cette variable contient le dernier emplacement où la séquence de tâches a téléchargé ou tenté de télécharger du contenu. Elle est utilisée comme dépannage pour éviter de consulter les journaux du client.
    • Cette version reprend l'amélioration de l'étape Disable et résout le problème connu avec la fonctionnalité côté client et ajoute une nouvelle variable, OSDBitLockerRebootCountOverride. Cette valeur permet de remplacer le compte à rebours spécifié OSDBitlockerRebootCount. Elle permet de spécifier une valeur 0 ; ce qui n’est pas possible pour l’autre variable.

     

    Plus d’informations sur : https://docs.microsoft.com/en-us/sccm/core/get-started/2019/technical-preview-1906  

  • [Azure AD] Limiter l’accès au portail Azure AD à vos utilisateurs standards

    De la même manière que sur Active Directory, l’annuaire Azure Active Directory de votre entreprise est disponible en lecture à l’ensemble des utilisateurs authentifiés. Cela signifie qu’un utilisateur avertit, peut ouvrir le portail Azure et naviguez dans Azure Active Directory puis lister tous les utilisateurs. Bien entendu l’utilisateur ne pourra pas effectuer d’action de modifications mais il peut très bien accéder à des informations relatives à un utilisateur :

     

    Il est tout de même possible de limiter cette capacité. Ouvrez le portail Azure avec un compte disposant des autorisations Global Admin. Naviguez ensuite dans Azure Active Directory – Users puis choisissez User Settings.
    Passez l’option Restrict access to Azure AD administration portal à Yes :

     

    Les utilisateurs standards ne peuvent maintenant plus accéder à ces informations :

    Note : Ceci a un impact si vous attribuez uniquement des droits RBAC à vos administrateurs Intune. Plus d’informations.

  • [MDOP] La mise à jour de révision de mai 2019 pour MDOP (MBAM 2.5) est disponible

    Microsoft vient de publier la mise à jour de révision de Mai 2019 pour sa suite Microsoft Desktop Optimization Pack (MDOP). Pour rappel, Microsoft a annoncé que les produits de la suite MDOP n’était plus en développement. Ces derniers restent supportés par Microsoft mais chacun dispose d’un futur différent. MBAM va être intégré directement à System Center Configuration Manager & Microsoft Intune. App-V est remplacé par le format MSIX et MSIX AppAttach.

    Cette mise à jour de révision apporte le support de Windows 10 1903 par MBAM 2.5 Service Pack 1 (SP1).


    Pour obtenir plus d’informations et le correctif, rendez-vous sur la KB4505175 May 2019 servicing release for Microsoft Desktop Optimization Pack.

    Télécharger Microsoft Desktop Optimization Pack May 2019 Servicing Release

  • [Azure AD/Intune] Changement affectant l’accès conditionnel pour des authentifications héritées

    Microsoft va effectuer un changement dans la manière dont l’accès conditionnel (Conditional Access) est évalué lors de l’utilisation des protocoles d’authentification hérités (Legacy Auth). Auparavant, un client qui migrait depuis un outil de MDM vers Microsoft Intune, s’il avait attribué des stratégies d’accès conditionnel spécifiques à une plateforme utilisant l’authentification héritée, l’accès conditionnel n’était alors pas appliqué au périphérique puisque la détection du périphérique échouait.

    Ce comportement n’était pas celui attendu. Microsoft s’apprête à corriger le problème dans les prochaines semaines. De ce faire, des utilisateurs qui pouvaient avois accès aux ressources d’entreprises, vont peut-être se voir bloquer l’accès quand elles utilisent une authentification héritée.

    Ceci n’impacte pas le cas des stratégies d’accès conditionnel qui s’appliquent à l’ensemble des plateformes mais uniquement à celles-ci ciblées à des plateformes spécifiques.

    Aucune action n’est à prévoir ; excepté de notifier les acteurs Help Desk pour aider les utilisateurs dans cette situation.

  • Le Correctif cumulatif 22 pour Exchange Server 2013 est disponible

    L’équipe Exchange vient de publier le 22ème Cumulative Update (CU22) (15.00.1473.005) pour Exchange Server 2013. Ce Cumulative Update ne comprend pas de corrections de bugs puisqu’Exchange Server 2013 est entré en support étendu en avril 2018. Les clients doivent l’installer pour continuer de recevoir les mises à jour de sécurité future.

    Notez que l’installation des prérequis suivants sont nécessaires pour l’implémentation de ce Cumulative Update :

    Il permet de résoudre la vulnérabilité révélée suivante :

    Télécharger Cumulative Update 22 for Exchange Server 2013 (KB4503028)

  • [Intune] Correction d’un problème sur le déploiement des profils Emails sur Windows 10

    Microsoft vient de communiquer à propos de la correction d’un bug sur le déploiement de profils email Windows 10 via Microsoft Intune. Cette correction a eu lieu dans la version 1904 (Avril) de Microsoft Intune. Ce changement vous concerne si vous utilisez les profils de messagerie Windows 10 avec

    • Le client de messagerie natif sur les postes de travail Windows 10 OU
    • Le client de messagerie Outlook sous Windows 10 Mobile

    Ceci a un impact à la fois sur les Intune en mode autonome et hybrides avec Configuration Manager.

     Maintenant que cette modification a été effectuée, vous devrez recréer ces profils dans la console Intune (dans la console d'administration Configuration Manager si vous utilisez MDM hybride).

     Si vous ne le faites pas, voici ce que vous verrez pour les profils créés avant 1904 :

    • Les profils de messagerie existants apparaîtront en état d'erreur dans la console Intune ou dans la console d'administration ConfigMgr, mais les utilisateurs finaux auront toujours accès à la messagerie. Cependant, après une mise à jour ultérieure de Windows, ces profils ne fonctionneront plus. Les utilisateurs finaux des périphériques ciblés par ces profils perdront l'accès à leurs courriels.
    • Les modifications apportées à ces profils après 1904 ne seront pas prises en compte sur les périphériques ciblés.
    • L’effacement sélectif ne fonctionnera pas pour supprimer ces profils.

     

    Si vous prenez des mesures et recréez des profils de messagerie, les utilisateurs finaux devront suivre des étapes similaires à celles du déploiement d'un profil de messagerie pour la première fois. Les emails seront bloqués jusqu'à ce qu'ils acceptent la mise à jour qui applique le nouveau profil.

     Vous devez donc :

    1. Capturez les paramètres des profil email Win 10 existants.
    2. Retirer l’attribution et/ou supprimer des profils existants.
    3. Créez de nouveaux profils à l'aide des paramètres capturés et affectez les nouveaux profils aux mêmes groupes.

     

    Plus d’informations sur : https://aka.ms/Win10EmailProfiles