Voici le récapitulatif des annonces faites par Microsoft concernant sa plateforme Microsoft Azure.

Parmi les annonces, on retrouve notamment :

General

• On retrouve de nombreuses nouveautés sur la gestion du coût dans Azure (Azure Cost Management) avec notamment :
  • Ajout de l’usage Marketplace pour les abonnements Pay-as-you-go
  • Microsoft vous propose d’essayer Cost Management Labs, une interface proposant les nouveautés en préversion. On retrouve par exemple actuellement des fonctions permettant de sauvegarder et partager une vue personnalisée directement dans l’analyse de coût, etc.
  • Microsoft va introduire la capacité de sauvegarder et partager des vues personnalisées dans la partie Cost Analytics. Vous pourrez ainsi partager un lien direct à des utilisateurs du portail.
  • Azure Cost Management va permettre de voir le coût dans différentes monnaies en convertissant ce dernier dans une seule devise.
  • Vous pouvez maintenant gérer les départements et stratégies EA directement depuis le portail Azure.
  • Les ressources de type VPN Gateways supportent maintenant les tags.
  • La limite du nombre de tags par ressource passe à 50.
• Microsoft ajoute de nouvelles fonctionnalités aux réservations :
  • Vous pouvez maintenant configurer vos réservations pour qu'elles soient renouvelées automatiquement. Ceci vous assure que vous continuerez de bénéficier des réductions de réservation sans aucune interruption. Vous pouvez choisir de renouveler automatiquement vos réservations à tout moment pendant la durée de la réservation.
  • Vous pouvez maintenant délimiter les réservations à un groupe de ressources. Cette fonction est utile dans les scénarios où le même abonnement comporte des déploiements de plusieurs centres de coûts, représentés par leurs groupes de ressources respectifs, et où la réservation est achetée pour un centre de coûts particulier.
  • Amélioration des données d’usage avec les informations d'achat de la réservation et de remboursement des frais de réservation, quelle ressource a consommé combien d'heures d'une réservation et refacturer les données pour l'utilisation, combien d'heures d'une réservation n'ont pas été utilisées. Vous pouvez calculer les économies de réservation
  • Un plan de préachat Azure Databricks permettant d’économiser jusqu’à 37%.
  • Économisez jusqu'à 40 % sur vos frais liés à l’App Service Isolated Stamp.
  • On retrouve aussi une API pour l’achat des réservations (avec le SKU, le calcul du coût, etc.)
• Microsoft annonce l'acquisition de jClarity pour améliorer les charges de travail Java dans Azure.

Azure Computer

• Preview d’Azure Dedicated Host, un nouveau service qui permet aux entreprises d’exécuter des machines virtuelles Windows et Linux sur des serveurs physiques unique au tenant. Ceci permet de donner du contrôle et de la visibilité et permet de répondre aux besoins de conformité et des règles des autorités de réglementation. Ce mode est aussi concerné par l’Azure Hybrid Benefit afin d’appliquer le bénéfice des licences On-Premises. Azure Dedicated Host vous permet de choisir le type d’hôte, la marque et les capacités du processeur, le nombre de cœurs, le type et la taille des machines virtuelles que vous souhaitez déployer. Vous pouvez différer les opérations de maintenance de l'hôte et de les appliquer dans une fenêtre de maintenance définie, 35 jours.
• Microsoft annonce le projet Tardigrade visant à améliorer la disponibilité des machines virtuelles Azure.
• Annonce de la preview prochaine de la quatrième génération de machines virtuelles pour les charges de visualisation GPU (NVv4) avec des processeurs AMD EPYC 7002 et des GPU Radeon MI25. Les clients peuvent choisir parmi les VMs avec un GPU complet jusqu'à 1/8ème d'un GPU. Cela permet d’adapter les coûts pour des charges de travail avec du GPU d'entrée de gamme et de faible intensité, tout en offrant aux clients la possibilité d'évoluer vers une puissance de traitement GPU complète. Les machines virtuelles NVv4 prennent en charge jusqu'à 32 vCPU, 112 Go de RAM et 16 Go de mémoire GPU. Ces machines seront disponibles en South Central US et West Europe dans un premier temps
• Annonce de la deuxième génération de machines virtuelles pour les calculs à hautes performances (HBv2). Les machines virtuelles HBv2 disposent de 120 cœurs de CPU de la série AMD EPYC Série 7002, 480 Go de RAM, 480 Mo de cache L3, et aucun multithreading simultané (SMT). Les machines virtuelles HBv2 fournissent jusqu'à 350 Go/sec de bande passante mémoire. Chaque machine virtuelle HBv2 offre également jusqu'à 4 teraFLOPS de performance double précision et jusqu'à 8 teraFLOPS de performance précision simple.
• Mise à jour du composant additionnel de haute disponibilité pour Red Hat Enterprise Linux pour améliorer les performances de Pacemaker le gestionnaire de ressources. On retrouve aussi de nouvelles images RHEL avec le composant additionnel de haute disponibilité dans le mode Pays as you go (PAYG) du MarketPlace. Enfin, on retrouve aussi des images RHEL pour SAP avec ce composant additionnel de haute disponibilité.

Azure Storage

• Disponibilité Générale d’Azure Ultra Disk Storage, un disque géré Azure offrant des performances accrues en matière d’I/O avec 300 IOPS par GB pour un maximum de 160K IOPS par disque et donc une vitesse de 2000 MB/S par disque. Cette catégorie de disques rejoint les catégories Premium SSD, Standard SSD, et Standard HDD. Microsoft a construit l’Ultra Disk Storage sur la technologie Locally Redundant Storage (LRS) qui stocke trois copies de données dans la même zone de disponibilité. Ces disques sont disponibles dans les régions East US 2, North Europe, Southeast Asia et sur les types de machines DSv3 et ESv3.
• Preview du stockage Geo Zone Redundant Storage (GZRS) fournissant l’alliance de hautes performances, de la haute disponibilité, et de la restauration après désastre (notamment d’une région entière). On retrouve aussi le mode Read Access Geo Zone Redundant Storage (RA-GZRS). Ce mode est disponible dans la région US East pour la Preview.
• Azure Files :
  • Disponibilité générale de l’authentification Azure Active Directory Domain Services (AADDS) pour Azure Files. Ceci permet de monter un partage de fichiers Azure en SMB en utilisant des identifiants Azure AD DS à partir des machines virtuelles Windows avec des ACLs NTFS. On retrouve notamment une intégration intégrée avec l’explorateur de fichiers pour l’assignation de permissions. On retrouve aussi trois rôles RBAC : Storage File Data SMB Share Elevated Contributor, Contributor, et Reader.
  • Mise à jour (7.2.0.0) de l’agent Azure File Syncv.
• Azure Archive Storage
  • Baisse des prix d’Azure Archive Storage jusqu’à 50% dans certaines régions.
  • Public Preview de la Pirority Retrieval permettant (moyennant un surcoût) de faire la réhydratation rapide des données du niveau d'archive vers les niveau hot ou cool. On retrouve deux options : Standard (paramètre actuel pouvant aller jusqu'à 15 heures) et High (nouvelle option en moins d'une heure)
  • Public Preview de la fonctionnalité d'envoyer direct de blob dans le niveau d'accès souhaité (hot, cool, etc.)

Azure Security Center

• Disponibilité générale d’Azure Security Center pour IoT. Azure Security Center vous permet de protéger votre déploiement IoT de bout en bout en identifiant et en répondant aux menaces émergentes, ainsi qu'en trouvant les problèmes dans les configurations avant que les attaquants puissent les utiliser pour compromettre le déploiement.

Operations Management Suite (OMS)

• Azure Site Recovery (ASR) supporte maintenant la restauration pour des machines virtuelle avec le chiffrement de disque Azure (Azure disk encryption v2) et sans application Azure AD. Lors de la réplication de machine virtuelle, toutes les clés et secrets de chiffrement de disque requis sont copiés de la région source vers la région cible dans le contexte utilisateur. Si l'utilisateur qui gère la restauration après désastre, ne dispose pas des autorisations appropriées, il peut remettre le script prêt à l'emploi à l'administrateur pour copier les clés et les secrets et procéder à la configuration. Ce mode n’est supporté que pour les machines virtuelles Windows avec des disques gérés. Le support de Linux est attendu dans les prochaines semaines.

Azure Functions et App Service

• Disponibilité générale des identités gérées (Managed Identity) pour Linux dans Azure App Service et Azure Functions. Ceci permet à une application de donner accès à d'autres ressources protégées (Azure Key Vault, etc.)
• Disponibilité Générale des identités gérées assignées à l'utilisateur pour Azure App Service et Azure Functions. Ces identités ne sont pas assignées au système (à la ressource) mais à un utilisateur.
• Disponibilité Générale du support de Python dans Azure Functions.

Azure Blockchain

• De nouvelles fonctionnalités ont été apportée au service Azure Blockchain Servicev

• • Un debugger interactif
  • Le kit de développement génère maintenant une interface utilisateur qui est rendue et activée dans Visual Studio Code.
• Sur la partie BlockChain, on retrouve une nouvelle offre SIMBA proposant une plateforme Smart Contract as a Service (SCaaS) afin de construire des applications décentralisées.

Azure SQL

• Microsoft a mis à jour le niveau de service d’Azure SQL Database à 99,995% pour des bases de données redondantes sur zone dans son niveau business critical. Microsoft offre aussi un SLA de continuité d'activité pour les bases de données du niveau critique qui sont géo-répliquées entre deux régions Azure différentes. Ce niveau de service est associé à un RPO de cinq secondes et d'un RTO de 30 secondes, y compris un crédit mensuel de 100 % lorsque le SLA n'est pas maintenu.

Autres services

• Disponibilité Générale de la version 3 du SDK Azure Cosmos DB .NET.
• Preview Août 2019 du SDK Azure avec les nouveautés suivantes :
  • Storage Libraries pour Java supporte les fichiers et les files d'attente.
  • Storage Libraries pour Python a ajouté des versions Async des API pour les fichiers, les files d'attente et les blobs.
  • Les bibliothèques Event Hubs dans plusieurs langues ont étendu la prise en charge de l'envoi de plusieurs messages en un seul appel en ajoutant la possibilité de créer un lot en évitant le scénario d'erreur où un appel dépasse les limites de taille et en donnant un contrôle de taille de lot aux développeurs ayant des problèmes de bande passante.
  • Les bibliothèques Event Hubs ont introduit un nouveau modèle de consommation d'événements via la classe EventProcessor qui simplifie le processus de checkpointing aujourd'hui et gérera l'équilibrage de charge entre les partitions.
• Preview des actions GitHub pour Azure DevOps permettant de gérer l’authentification avec un abonnement Azure, le déploiement vers Azure App Services, la gestion des conteneurs, et les actions relatives aux clusters Kubernetes.
• Azure Databricks est disponible dans de nouvelles régions : South Africa & South Korea.
• Azure Stream Analytics supporte maintenant MATCH_RECOGNIZE permettant de réduire le coût la complexité pour créer, modifier et maintenir des requêtes correspondants à des séquences d’événéments.

Microsoft a changé les prérequis nécessaires pour recevoir des mises à jour de sécurité sur Windows 7 SP1, Windows Server 2008 R2 SP1 and Windows Server 2008 SP2. Jusqu’à maintenant, les mises à jour du système d'exploitation Windows étaient doublement signées à l'aide des algorithmes de hachage SHA-1 et SHA-2 pour authentifier que les mises à jour proviennent directement de Microsoft et n'ont pas été modifiées pendant la livraison. En raison des faiblesses de l'algorithme SHA-1 et pour s'aligner sur les normes de l'industrie, les mises à jour sont maintenant signées avec un certificat de signature de code SHA-2.

Pour les systèmes Windows 10 1709, 1803, 1809 et Windows Server 2019, le changement du mode de signature double (SHA1 et SHA2) a été fait le 18 juin 2019 sans impact pour les entreprises.

Pour les systèmes Windows 10 1507, 1607, et 1703, le changement du mode de signature double (SHA1 et SHA2) a été fait le 16 juillet 2019 sans impact pour les entreprises.

Pour les systèmes Windows Server 2012, Windows 8.1, Windows Server 2012 R2, , le changement du mode de signature double (SHA1 et SHA2) est prévu pour le 10 septembre 2019 sans impact pour les entreprises.

Le problème peut donc concernés ces anciens systèmes qui n’ont pas de support pour SHA-2 par défaut. Ainsi le Patch Tuesday de juillet 2019 était le dernier disponible en SHA-1 et celui publié le mardi 13 août n’a été publié qu’en version SHA-2.

Microsoft a publié des mises à jour de sécurité pour les systèmes suivants :

• Windows 7 SP1 et Windows Server 2008 R2 SP1 : KB4474419et KB4490628
• Windows Server 2008 SP2 : KB4493730 et KB4474419

En outre si vous utilisez WSUS 3.0 SP2 sur Windows Server 2008 SP2 et Windows Server 2008 R2 SP1 (ce qui ne devrait pas être le cas de beaucoup d’entreprises), vous devez appliquer manuellement la mise à jour suivante KB4484071 pour supporter SHA-2

Source : 2019 SHA-2 Code Signing Support requirement for Windows and WSUS

Après le Patch Tuesday d’août 2019 et l’installation de la mise à jour KB4511553, certaines applications Visual Basic 6 (VB6), VBA, et VBScript peuvent cesser de répondre et renvoyer l’erreur : invalid procedure call error.

Les systèmes suivants sont concernés :

• Clients : Windows 10 1903; Windows 10 1809; Windows 10 Enterprise LTSC 2019; Windows 10 1803; Windows 10 1709; Windows 10 1703; Windows 10 Enterprise LTSC 2016; Windows 10 1607; Windows 10 Enterprise LTSC 2015; Windows 8.1; Windows 7 SP1
• Serveurs : Windows Server 1903; Windows Server 1809; Windows Server 2019; Windows Server 1803; Windows Server 1709 ; Windows Server 2016; Windows Server 2012 R2; Windows Server 2012; Windows Server 2008 R2 SP1; Windows Server 2008 SP2

Microsoft travaille sur un correctif qui sera mis à disposition de manière optionnelle.

La première mise à jour a été publiée pour Windows 7 SP1 and Windows Server 2008 R2 (KB4517297). Les autres vont suivre dans les prochains jours.

Plus d’informations sur la page Windows 10 Known Issues

Microsoft vient de mettre à disposition pour tous (Slow RIng), la version finale (5.00.8853.1000) de System Center Configuration Manager 1906. ConfigMgr a subi une refonte de sa structure pour permettre des mises à jour aisées de la même façon que l’on peut le voir avec Windows 10. C’est pourquoi la fonctionnalité Updates and Servicing (nom de code Easy Setup) a été introduite. Si vous utilisez System Center 2012 Configuration Manager, vous devez mettre à jour votre site vers System Center Configuration Manager 1806 avant de pouvoir passer à cette version. Pour les versions antérieures, la version minimale est aussi System Center Configuration Manager 1806.

Cette version arrête le support des fonctionnalités suivantes :

• La Cloud Management Gateway et le Cloud Distribution Point dans un mode de déploiement classique Azure.
• Vous ne pouvez pas installer de nouveaux rôles de catalogue d'applications. Les clients mis à jour utilisent automatiquement le Management Point pour les déploiements d'applications disponibles aux utilisateurs.
• Fin de support de Windows CE 7.0, Windows 10 Mobile, et Windows 10 Mobile Enterprise

Outre cela, Microsoft signe maintenant ses binaires avec un certificat de signature de code SHA-2. De ce faire, vous devez appliquer des mises à jour sur les systèmes suivants :

• Windows 7 SP1
• Windows Server 2008 R2 SP1
• Windows Server 2008 SP2

System Center Configuration Manager 1906 comprend les nouveautés suivantes :

Administration

• Support de Windows Virtual Desktop pour permettre de gérer ces environnements virtuels dans Azure. Pour améliorer les performances du client, ConfigMgr désactive désormais les stratégies utilisateur sur tout périphérique qui autorise ces sessions utilisateurs multiples. Même si vous activez les règles utilisateur, le client les désactive par défaut sur ces périphériques, qui incluent Windows Virtual Desktops et Remote Desktop.
• Preview de OneTrace est une nouvelle visionneuse de journaux inclue dans Support Center. Il fonctionne de manière similaire à CMTrace. Ils fonctionnent avec les logs ConfigMgr, les messages d’état, et les logs Windows Update.
• La console d’administration retrouve un onglet Maintenance Tasks qui permet de voir si la tâche de maintenance est activée, la planification, la dernière date de démarrage, la dernière date d’exécution et si la tâche s’est exécutée avec succès. Cet onglet est disponible dans Administration – Site Configuration – Sites.

• Lors de l’application d’une mise à jour Configuration, vous pouvez voir l’état de la mise à niveau de la base de données ConfigMgr dans la partie Installation. Ceci permet de voir si la mise à niveau de la base de données est bloquée par un programme. Vous pouvez voir l’identifiant de session qui bloque la base de données.
• Un nouvelle règle Management Insight détecte si vous avez activé la méthode de repli d'authentification NTLM moins sécurisée pour le site.

• Vous pouvez ajouter via l’installeur Configuration Manager, un second nœud réplica sur un groupe de disponibilité AlwaysOn de SQL Server. Il n’est plus nécessaire de réaliser ces actions manuellement.
• Le Management Point vérifie désormais toutes les cinq minutes l'état de santé de son service utilisateur. Il signale tout problème via des messages de statut pour le composant de site SMS_MP_CONTROL_MANAGER.
• Concernant les paramétrages du client :
  • Vous pouvez maintenant spécifier la durée minimale pendant laquelle le client Configuration Manager doit conserver le contenu mis en cache. Ce paramètre client contrôle la durée pendant laquelle le client stocke le contenu dans le cache avant de le supprimer. Dans le groupe Client cache settings des paramètres client, configurez les paramètres suivants : Minimum duration before cached content can be removed (minutes).
  • Dans le groupe Client cache settings des paramètres client, le paramètre existant Enable Configuration Manager client in full OS to share content est maintenant renommé Enable as peer cache source. Le comportement du réglage ne change pas.

Services Cloud

• Microsoft introduit une découverte des groupes d'utilisateurs et les membres de ces groupes dans Azure Active directory (Azure AD). Les utilisateurs trouvés dans les groupes Azure AD qui n'ont pas encore été découverts seront ajoutés en tant que ressources utilisateur dans Configuration Manager. Un enregistrement de ressource de groupe d'utilisateurs est créé lorsque le groupe est un groupe de sécurité.
• Vous pouvez maintenant créer des collections sur la base d’un groupe Azure Active Directory. Les membres de la collection sont ainsi automatiquement synchronisés en fonction des membres du groupe Azure Active Directory (statique ou dynamique). Seuls les périphériques ayant un enregistrement Azure Active Directory sont pris en compte dans le groupe Azure AD. Les appareils Hybrid Azure AD Joined et Azure Active Director Joined sont supportés.
  Cette fonctionnalité est en préversion.
• Microsoft propose un estimateur/calculateur de coût des services Cloud. L'outil utilise les données suivantes de la base de données de site pour estimer le coût de déploiement de la Cloud Management Gateway :
  • Utilisation globale et moyenne des Management Points et des points de distribution par les clients
  • Prix Azure

Le tableau de bord est disponible à partir de l’espace Monitoring – Cloud Management. Par défaut, l’outil n’utilise les données que des portables, que les stratégies clientes (pas le contenu), 30 jours d’usage de données cliente et une moyenne de 10% de clients communiquant simultanément avec des cloud service. Notez que pour l’instant, les prix sont fixés en dur pour West US, West Europe, et North Europe.

Co-Management

• Améliorations de l’enregistrement automatique du Co-Management :
  • Un nouveau périphérique cogéré peut maintenant automatiquement s’enregistrer dans Microsoft Intune en utilisant le token périphérique Azure AD. Il n'est pas nécessaire d'attendre qu'un utilisateur se connecte au périphérique pour que l'enregistrement automatique commence. Cette modification permet de réduire le nombre de périphérique ayant le statut d’enregistrement Pending user sign in. Pour supporter ce comportement, les clients doivent exécuter Windows 10 version 1803 ou ultérieur.
  • Pour les clients dont certains périphériques sont déjà cogérés, les nouveaux périphériques s'inscrivent dès qu'ils remplissent les conditions préalables. Par exemple, une fois que le périphérique est relié à Azure AD et que le client Configuration Manager est installé.
• Support du Co-management avec Microsoft Azure US Government Cloud.
• La configuration du Co-Management évolue pour permettre de cibler différentes collections de pilote en fonction des charges de travail que vous souhaitez tester. Ce choix se justifie car vous pouvez avoir besoin de population pilote différent lors du passage des stratégies de conformité, ou des configurations de périphériques (par exemple) sur Microsoft Intune.

Desktop Analytics

• Vous pouvez désormais obtenir des informations plus détaillées pour vos applications, y compris les applications métier. L'ancien outil App Health Analyzer est maintenant intégré avec le client Configuration Manager. Cette intégration simplifie le déploiement et la gestion de l’évaluation de la compatibilité des applications dans le portail Desktop Analytics.
• L'outil DesktopAnalyticsLogsCollector.ps1 du répertoire d'installation Configuration Manager permet de vous aider à dépanner Desktop Analytics. Il exécute quelques étapes de dépannage de base et rassemble les journaux pertinents dans un répertoire de travail unique.

Note : Pour ceux qui n’auraient pas passé le Correctif pour Configuration Manager 1902, Desktop Analytics a fait son apparition de manière supportée dans cette version. La Version 1906 introduit le service sans prérequis particulier.

Gestion en temps réel

• CMPivot permet d’utiliser des opérateurs arithmétiques, d'agrégateurs et de la possibilité d'ajouter des jointures de requête pour permettre l'utilisation simultanée du registre et des fichiers. Les éléments suivants ont été ajoutés : opérateurs (Join, Render), opérateurs scalaires (+, -, *, /, %), fonctions d’agrégation (Percentile(),sumif()) et fonctions scalaires . Pour rappel, CMPivot est un nouvel utilitaire dans la console qui permet d'accéder en temps réel à l’état des périphériques dans votre environnement. Il lance immédiatement une requête sur tous les périphériques actuellement connectés dans la collection cible et renvoie les résultats.
• Ajout des permissions CMPivot au rôle Security Administrator : Read on SMS Script Run CMPivot on Collection, et Read on Inventory Report.
• CMPivot peut être utilisé de manière autonome sans nécessiter la console d’administration. L’outil peut donc être partagé avec d’autres personnes (helpdesk, équipe sécurité, etc.) afin de leur permettre de récupérer des données intéressantes. L’application CMPivot est stockée dans <répertoire d’installation du site>\tools\CMPivot\CMPivot.exe. L’outil doit être copié avec l’ensemble des fichiers (dll, etc.).
  Cette fonctionnalité est en préversion.

Inventaire

• Amélioration d’Asset Intelligence pour augmenter le nombre de titres de logiciels non catégorisés qui peuvent être uploadés en une seule fois vers Microsoft à des fins de catégorisation.

Software Center

• Vous pouvez maintenant ajouter jusqu'à cinq onglets personnalisés dans le Software Center. Vous pouvez également modifier l'ordre dans lequel ces onglets apparaissent dans le Software Center.
• Amélioration des processus sous-jacent au Centre Logiciels/Software Center :
  • Pour les applications en libre-service destinées aux utilisateurs, le Software Center les récupère maintenant à partir du Management Point. Il a ce comportement même si le site a les rôles catalogue d'applications. Cette modification vous permet de supprimer plus facilement ces rôles de site.
  • Auparavant, le Software Center choisissait le premier Management Point dans la liste des serveurs disponibles. À partir de cette version, il utilise le même Management Point que celui utilisé par le client. Ce changement permet au Software Center de s'aligner avec le client et d'avoir le même comportement de repli.
• La notification (New Software is Available) pour spécifier qu’un nouveau logiciel est disponible, ne s'affichera qu'une seule fois pour un utilisateur pour une application et une révision donnée. L'utilisateur ne verra plus la notification chaque fois qu'il se connectera. Ils ne verront une autre notification pour une application que si elle a changé.

• Il est maintenant possible de configurer plus de notifications de compte à rebours pour les redémarrages sur les clients. On retrouve deux paramétrages dans les paramétrages client : Specify the snooze duration for computer restart countdown notifications (hours) et Display a temporary notification to the user that indicates the interval before the user is logged off or the computer restarts (minutes).

• Vous pouvez maintenant fournir un lien direct vers un onglet personnalisé dans le Centre Logiciels/Software Center. Le format doit être le suivant : softwarecenter:page=CustomTab1.

• Basé sur les retours UserVoice, les catégories d'utilisateurs pour les déploiements d'applications ciblées par périphérique apparaissent désormais sous forme de filtres dans le Software Center.

Gestion du contenu

• Le tableau de bord Client Data Sources inclut maintenant les données Delivery Optimization pour voir les informations relatives à ce type de contenu téléchargé par les clients Configuration Manager. Les données ne remontent que celles relatives aux installations des mises à jour express Windows 10.
• Cette version permet d’utiliser un point de distribution comme serveur de cache local pour Delivery Optimization. Cette fonctionnalité est connue sous le nom de Delivery Optimization In-Network Cache (DOINC). Ce serveur de cache fait office de cache à la demande pour le contenu téléchargé par Delivery Optimization. Ce cache est séparé du contenu des points de distribution. Si vous sélectionnez le même lecteur que le rôle de point de distribution, il enregistre le contenu séparément. Vous devez utiliser Windows Server 2012, Windows Server 2012 R2, Windows Server 2016 ou Windows Server 2019. Le serveur doit avoir un accès à Internet. Les clients doivent utiliser à minima Windows 10 1709.
  Le contenu Cloud comprend les types de contenu suivants :
  • Windows Update for Business : Les mises à jour de fonctionnalités et de la qualité de Windows 10
  • Applications Office Click-to-Run : Applications Office et mises à jour
  • Applications client : applications Microsoft Store et mises à jour
  • Endpoint Protection : Mises à jour de définition de Windows Defender
  • Applications issues du Microsoft Store
  • Windows Features On Demand, telles que les langues
  • Si vous activez les stratégies Windows Update for Business : Les mises à jour de fonctionnalités et de la qualité de Windows 10

Gestion des Applications

• L’administrateur peut créer des groupes d’applications qui peuvent être déployés comme une seule entité à l’utilisateur ou la machine. Les métadonnées du groupe d’applications sont vues comme une seule entité dans le Software Center. L’administrateur peut ordonnancer les applications dans le groupe afin de les installer dans un ordre spécifique.

• Vous pouvez maintenant réessayer l'installation d'une application que vous avez déjà approuvée pour un utilisateur ou un périphérique. L'option d'approbation ne s'applique qu'aux déploiements disponibles. Si l'utilisateur désinstalle l'application, ou si le processus d'installation initiale échoue, Configuration Manager ne réévalue pas son état et ne le réinstalle pas. Cette fonction permet à un technicien du support technique de réessayer rapidement l'installation de l'application pour un utilisateur qui solliciterait son aide.
• Depuis la console Configuration Manager, vous pouvez maintenant installer des applications sur un périphérique en temps réel. Cette fonction peut aider à réduire le besoin de collections séparées pour chaque application. Elle requiert certains prérequis.
• Amélioration du processus d’approbation des applications :
  • Si vous approuvez une demande d'application dans la console, puis la refusez, vous pouvez maintenant l'approuver à nouveau. L'application est réinstallée sur le client une fois que vous l'avez approuvée.
  • Dans la console, le nœud Approval Requests est renommé Applications Requets.
  • Il y a une nouvelle méthode WMI, DeleteInstance pour supprimer une demande d'approbation d'application. Cette action ne désinstalle pas l'application sur le périphérique. Si elle n'est pas déjà installée, l'utilisateur ne peut pas installer l'application à partir du Software Center.
  • Appelez l'API CreateApprovedRequest pour créer une demande pré-approuvée pour une application sur un appareil. Pour empêcher l'installation automatique de l'application sur le client, définissez le paramètre AutoInstall sur FALSE. L'utilisateur voit l'application dans le Software Center, mais elle n'est pas installée automatiquement.

Mises à jour logicielles

• La gestion des mises à niveau de Windows 10 supporte maintenant les mises à jour dynamiques. Ceci permet d’automatiquement installer les packs de langues, les fonctionnalités à la demande, les drivers et les correctifs cumulatifs lors de l’exécution de la mise à niveau du système d’exploitation. Ceci adresse un des principaux points de faiblesse de la fonctionnalité Windows 10 Servicing pour passer d’une version de Windows 10 à l’autre. Vous pouvez activer l’option Enable Dynamic Update for Feature Updates dans les paramétrages du client afin de modifier le fichier setupconfig utilisé lors de l’installation de la mise à niveau pour spécifier l’usage des Dynamic Update.

• Vous pouvez maintenant consulter les statistiques de conformité pour voir quels périphériques nécessitent une mise à jour logicielle spécifique. Pour afficher la liste des périphériques, vous devez obtenir l'autorisation d'afficher les mises à jour et les collections auxquelles les périphériques appartiennent.

• C’est deux des points que j’adressais avec l’un des scripts décrit dans mon article sur la maintenance/nettoyage de WSUS :
  • Microsoft ajoute maintenant la capacité de supprimer les mises à jour obsolètes de la base de données WSUS.
  • Microsoft ajoute maintenant les indexes supplémentaires sur les tables suivantes : tbLocalizedPropertyForRevision et tbRevisionSupersedesUpdate

• Vous pouvez maintenant spécifier le temps maximum d’installation attribuée à des mises à jour. Ce paramètre se spécifie au niveau des paramètres du composant Software Update Point. Il change le temps maximum d’exécution pour les nouvelles mises à jour synchronisées. Auparavant, il devait être modifié sur chaque mise à jour. Il impacte l’ensemble des mises à jour associées à la catégorie. On retrouve :
  • Features Updates qui inclut les trois classifications : Upgrades, Update Rollups, Service Packs
  • Non-Feature Updates qui inclut une mise à jour qui n’est pas comprise dans la catégorie Features Updates et pour l’un des produits suivants : Windows 10 (toutes versions), Windows Server 2012, Windows Server 2012 R2, Windows Server 2016, Windows Server 2019, et Office 365.
• La catégorie de produit Windows 10, version 1903 and later a été ajouté à Microsoft Update comme produit dédié plutôt que de faire partie du produit Windows 10 comme les versions précédentes. Ce changement vous a obligé à effectuer un certain nombre d'étapes manuelles pour vous assurer que vos clients voient ces mises à jour. Microsoft a réduit le nombre d'étapes manuelles que vous devez suivre pour le nouveau produit. Lorsque vous mettez à jour ConfigMgr 1906 et que le produit Windows 10 est sélectionné pour la synchronisation, les actions suivantes se produisent automatiquement :
  • Le produit Windows 10, version 1903 and later est ajouté pour la synchronisation.
  • Les règles de déploiement automatique contenant le produit Windows 10 seront mises à jour pour inclure Windows 10, version 1903 and later.
  • Les plans de maintenance (Servicing plans) sont mis à jour pour inclure le produit Windows 10, version 1903 and later.

Déploiement de systèmes d’exploitation

• C’est un projet sur lequel j’ai travaillé il y a deux ans maintenant à un MVP Summit avec Microsoft. Cela prend enfin forme directement dans le produit puisque Microsoft intègre le Task Sequence Debugger pour vous aider à dépanner une séquence de tâches sur un périphérique. Il vous suffit de sélectionner l’option Debug au moment du déploiement de la séquence de tâches. Le Debugger permet de contrôler d’une manière à vous aider à dépanner et investiguer. Vous pouvez spécifier des points de pause puis avancer, reculer, faire de l’étape par étape, etc.

• Il est maintenant possible de débloquer une séquence de tâches verrouillée par le mécanisme SEDO (Serialized Editing of Distributed Objects). Ce scénario peut arriver fréquemment si une console qui éditait la séquence de tâches a crashé inopinément. Ainsi le verrouillage est gardé pour une durée de 30 minutes.
  Cette nouveauté ne s'applique qu'au compte utilisateur qui a créé le verrouillage, et sur le même périphérique à partir duquel le site a accordé le verrou. Lorsque vous tentez d'accéder à une séquence de tâches verrouillée, vous pouvez maintenant Annuler les modifications et continuer à modifier l'objet. Ces changements seraient de toute façon perdus à l'expiration du verrou.

• L'étape Install Application, vous pouvez maintenant supprimer le contenu de l'application du cache client après l'exécution de l'étape. Ce comportement est intéressant sur les périphériques avec de petits disques durs ou lors de l'installation successive d'un grand nombre d'applications de grande taille.

• Il est maintenant possible de précharger dans le cache les packages de drivers et packages ainsi que les images de système d’exploitation. Ceci s’ajoute aux packages de mise à jour de système d’exploitation afin de mieux contrôler l’usage de la bande passante. Vous devez donc spécifier l’architecture et la langue sur l’onglet Data Source de l’image de système d’exploitation. Pour les packages de drivers, vous devez spécifier le modèle dans l’onglet General. Cette valeur doit être celle spécifiée dans la valeur Name de la classe Win32_ComputerSystemProduct.
  Ensuite dans la séquence de tâches, vous pouvez spécifier les conditions sur les étapes Apply OS Image et Apply Drivers Package. Avec des requêtes WMI avec respectivement Select* from Win32_OperatingSystem where locale = ‘04c0’ and OSArchitecture = ’64-bit’ ou select * from Win32_ComputerSystemProduct where Name = "HP EliteBook 820 G4" par exemple. Il ne vous reste plus que de déployer la séquence de tâches avec l’option Pre-download content for this task sequence.

• Lorsque vous créez un média de séquence de tâches, Configuration Manager n'ajoute pas de fichier autorun.inf. Ce fichier est généralement bloqué par les antivirus. Vous pouvez toujours inclure le fichier si nécessaire pour votre scénario. Lorsque vous créez un média de séquence de tâches dans la console Configuration Manager, sur la page Media Type de l'assistant, sélectionnez l'option Include autorun.inf file on media. Par défaut, cette option est désactivée.

• Améliorations générales au déploiement d’OS :
  • Basé sur les retours UserVoice, il est maintenant plus facile d'éditer des variables lorsque vous exécutez une séquence de tâches. Après avoir sélectionné une séquence de tâches dans la fenêtre Assistant Séquence de tâches, la page d'édition des variables de séquence de tâches comprend un bouton Edit.

• • L'étape Disable BitLocker a un nouveau compteur de redémarrage. Utilisez cette option pour spécifier le nombre de redémarrages nécessaires pour que BitLocker reste désactivé. Cette modification simplifie votre séquence de tâches. Vous pouvez utiliser une seule étape, au lieu d'ajouter plusieurs instances de cette étape.
  • On retrouve deux nouvelles cmdlets PowerShell permettant d’éditer ou de créer l’étape Run Task Sequence : New-CMTSStepRunTaskSequence et Set-CMTSStepRunTaskSequence
  • Microsoft ajoute une nouvelle variable de séquence de tâches SMSTSRebootDelayNext qui doit être utilisée en conjonction avec SMSTSRebootDelay. Elle permet de spécifier un timeout différent pour les redémarrages qui suivent le premier redémarrage dont le timeout est défini par SMSTSRebootDelay.
  • Basé sur les retours UserVoice, la séquence de tâches définit une nouvelle variable en lecture seule _SMSTSLastContentDownloadLocation. Cette variable contient le dernier emplacement où la séquence de tâches a téléchargé ou tenté de télécharger du contenu. Vous pouvez regarder cette variable au lieu d'analyser les journaux du client.

Gestion d’Office

• Le nouveau tableau de bord d’évaluation à la mise à niveau du client Office 365 ProPlus introduit dans la 1902 est étoffé. Vous pouvez le consulter en naviguant dans Software Library – Office 365 Client Management – Office 365 ProPlus Upgrade Readiness et permet d’obtenir des éléments sur :
  • L’évaluation des composants additionnels
  • Les déclarations de support des composants additionnels
  • Le TOP Des composants additionnels par version
  • Le nombre de périphériques qui ont des macros
  • L’évaluation des macros

Gestion des paramétrages et de la conformité

• Un nouveau paramétrage de stratégie Windows Defender Application Guard permet d’ouvrir des fichiers de confiance sur l’hôte, qui devraient normalement être ouvert dans l’environnement virtuel Application Guard. Ceci s’applique à Windows 10 1809.

Console Configuration Manager

• Cela a été attendu depuis longtemps, vous pouvez maintenant spécifier des étendues de sécurité sur les dossiers de la console d’administration. Si vous avez accès à un objet dans le dossier mais que vous n'avez pas accès au dossier, vous ne pourrez pas voir l'objet. De même, si vous avez accès à un dossier mais pas à un objet qui s'y trouve, vous ne verrez pas cet objet.

• Vous pouvez maintenant activer certains nœuds de la console Configuration Manager pour utiliser le service d'administration. Ce changement permet à la console de communiquer avec le SMSProvider via HTTPS au lieu de via WMI. Cela fonctionne pour les nœuds : Administrative Users, Security Roles, Security Scopes, et Console Connections.
• Amélioration de la console d’administration pour inclure :
  • Sur le nœud Device, vous pouvez sélectionner un périphérique et dans le panneau de détails ; un nouvel onglet Collections vous permet de lister toutes les collections dans lesquelles le périphérique est inclus. Cette fonction n’est pas disponible sous le nœud Device Collections.
  • Si vous sélectionnez une application dans la partie Software Library et Applications, le panneau de détail affiche un onglet Task Sequence qui référence les séquences de tâches où l’application est référencée.
  • Dans l’espace de travail Monitoring puis Script Status, il liste maintenant le nom des collections en plus des identifiants.
  • Vous pouvez démarrer CMPivot depuis un le nœud correspondant à la collection que vous avez ouverte dans la vue Device Collections.
  • Dans l'espace de travail Monitoring, sélectionnez le nœud Deployments. Sélectionnez un déploiement et choisissez l'action Afficher l'état dans le ruban. Dans le volet d'état de déploiement, double-cliquez sur les ressources totales pour accéder à une liste de périphériques. Lorsque vous sélectionnez un périphérique dans cette liste, vous pouvez maintenant lancer CMPivot et des scripts.
  • Dans l'espace de travail Monitoring, sélectionnez le nœud Cloud Management. Les couleurs dans les donuts pour les clients actuellement en ligne sont maintenant les mêmes que dans le graphique des clients en ligne (30 derniers jours).
  • Dans l'espace de travail Software Library, développez Application Management, puis sélectionnez le nœud Packages. Sélectionnez plus d'un package. Dans le groupe package du ruban, vous pouvez maintenant supprimer plusieurs packages à la fois.
  • Dans les nœuds Devices et Device Collections, vous pouvez maintenant ajouter une nouvelle colonne pour le SMBIOS GUID.

Mettez donc bien à jour vos packages et applications utilisés pour déployer des consoles.

Plus d’informations sur cette version : What’s new in version 1906

Pour obtenir les éléments relatifs au processus de mise à jour : https://docs.microsoft.com/en-us/sccm/core/servers/manage/updates

Microsoft vient de publier une nouvelle version (10.1.0.0) du Management Pack à destination des systèmes d’exploitation Windows Server 2016 et Windows Server 1709 ou plus. Pour rappel, System Center Operations Manager (SCOM) fait partie de la gamme System Center, il propose une supervision souple et évolutive de l’exploitation au niveau de toute l’entreprise, réduisant la complexité liée à l’administration d’un environnement informatique, et diminuant ainsi le coût d’exploitation. Ce logiciel permet une gestion complète des événements, des contrôles proactifs et des alertes, et assure une gestion des services de bout en bout. Il établit des analyses de tendance et des rapports, et contient une base de connaissances sur les applications et le système.

Cette version apporte les éléments suivants :

• Ajout de Microsoft.Windows.Server.Html5.Dashboard.mp
• Mise à jour des scénarios d'exceptions aux requêtes WMI pour la découverte du système d'exploitation
• Correction d’un bug dans le nettoyage (grooming) de la table ProcessCmdDim (Process and Port Monitoring)
• Ajout du support de la tâche Logical Disk Volume Information pour Windows Server 2019
• Ajout du support de la tâche Display Server Statistics pour Windows Server 2019
• Correction des valeurs de fréquence et de seuil incorrectes pour les moniteurs CPU Percentage Utilization, CPU DPC Time Percentage, CPU Percentage Interrupt Time.

Ce Management Pack supporte les systèmes d’exploitation suivants :

• Windows Server 2016.
• Windows Server Nano
• Windows Server 1709
• Windows Server 2019

Il peut être utilisé sur System Center Operations Manager 2016 et 2019.

Télécharger Microsoft System Center Management Pack for Windows Server Operating System 2016 and 1709 Plus

Microsoft vient de publier une mise à jour des outils Surface Hub à destination des ITs pour déployer, gérer et sécuriser les périphériques Surface Hub dans l’entreprise. On retrouve notamment :

• SurfaceHub Recovery v1.14.137.0 vous aide à réimaginer vos disques SSD (Surface Hub Solid State Drives) à l'aide d'un périphérique Windows 10 sans avoir besoin d'appeler le support ou de remplacer le SSD lui-même. Avec cet outil, vous pouvez réimaginer un SSD qui a un mot de passe Administrateur inconnu, des erreurs de démarrage, qui n'a pas pu effectuer une restauration depuis le Cloud, ou pour un périphérique qui a une ancienne version de l'OS. L'outil ne réparera pas les disques SSD physiquement endommagés.
• SurfaceHub Replacement PC Drivers 1.1.003 est disponible pour les entreprises qui ont choisi de désactiver le PC interne du Surface Hub et d'utiliser un ordinateur externe avec leur Surface Hub 84" ou 55".

Télécharger Surface Hub Tools for IT

Microsoft vient de publier une mise à jour des outils Surface à destination des ITs pour déployer, gérer et sécuriser les périphériques Surface dans l’entreprise. On retrouve notamment :

• Cisco EAP Supplicant Installer
• Surface Diagnostics App Console v2.36.139.0
• Surface Asset Tag
• Surface Brightess Control v1.12.139.0
• Surface Data Eraser v3.7.137.0 pour effacer de manière sécurisée les données des Surface.
• Surface Deployment Accelerator v2.24.136.0 permet de facilement déployer une image Windows sur des Surface.
• Surface Diagnostic Toolkit v2.41.139.0 fournit des outils pour tester le matériel.
• Surface Dock Updater v2.23.139.0 permet de mettre à jour le Dock.
• Surface UEFI Configurator v2.43.139.0.
• Surface UEFI Manager v2.43.139.0
• Surface WOL

Télécharger Surface Tools for IT

L’équipe du support Microsoft Intune vient de publier une astuce intéressante permettant de bloquer certains fabricants matériels en utilisant les stratégies d’accès conditionnel. La solution n’est pas parfaite car elle n’empêche pas l’enregistrement du périphérique mais elle peut permettre de bloquer l’accès au service de l’entreprise.

La méthode consiste à

1. Créer un groupe dynamique de périphériques en utilisant l’attribut device.deviceManufacturer
2. Créer et déployer une stratégie de conformité impossible sur ce groupe en spécifiant une version minimale de système d’exploitation abérante par exemple.

Pour en apprendre plus : Blocking certain hardware manufacturers via Intune compliance policies

Microsoft vient d’annoncer la publication d’un nouveau module PowerShell (AIPService) pour le service Azure Information Protection. Il comprend pas moins de 44 cmdlets permettant d’administrer le service. Celui-ci remplace le précédent module AADRM dont le support se terminera au 15 Juillet 2020.

Si vous utilisiez l’ancien module, vous devez le désinstaller avec la cmdlet : Uninstall-Module -Name AADRM

Ensuite installez le nouveau via la commande : Install-Module -Name AIPService

On retrouve aussi le module AzureInformationProctection qui s’adresse à l’administrations des clients Azure Information Protection unified labeling, et Azure Information Protection (classic).

 Source : Support for Powershell cmdlets from the AADRM module will end on July 15, 2020.  

Si vous avez essayé de créer des scripts pour configurer des stratégies de configuration Microsoft Intune pour Windows 10, vous avez pu vous heurter à quelques problèmes pour identifier les Configuration Service Providers (CSP) vis-à-vis de la configuration dans Graph API. Microsoft a publié un article dans la documentation qui permet de faire la correspondance.

Bref cet article est à garder sous le bras lorsque vous voulez faire du scripting : Graph APIs and matching Windows 10 CSPs used in Intune

Microsoft a communiqué un problème connu avec les stratégies de protection applicatives (APP) de Microsoft Intune où les stratégies ne sont pas forcées lorsque les utilisateurs partagent des fichiers Word/Excel/PowerPoint comme pièce jointe d’email. Une récente mise à jour de cette fonctionnalité a eu pour conséquence que l'identité de l'entreprise n'est pas correctement définie pour les fichiers joints aux e-mails. Par conséquent, lorsqu'un utilisateur partage un fichier en pièce jointe avec un autre utilisateur final, les stratégies ne sont pas appliquées aux fichiers comme attendu. Le deuxième utilisateur peut accéder au fichier non géré.

Le problème n'a pas d'impact sur les fichiers partagés sous forme de liens par courrier électronique. Il n'affecte pas non plus les fichiers partagés avec OneDrive ou SharePoint.

Le problème a été résolu avec la publication de la version 2.28.19080905 des applications Word, Excel et PowerPoint pour iOS dans l'App Store.

A partir du 8 septembre, Microsoft va bloquer l’usage de TLS 1.0 et 1.1 avec Microsoft Cloud App Security. Pour préparer ce changement, Vous devez donc :

• Mettre à jour les Agents SIEM qui ont une version inférieure à 0.111.126.
• Mettre à jour les applications personnalisées qui utilisent l’API Cloud App Security afin de supporter TLS 1.2.
• Pour les applications qui utilisent l’accès conditionnel avec App Control, vous devez vérifier qu’elles supportent TLS 1.2
• Mettre à jour les Log Collectors qui ont une version inférieure à 0.111.127.

Plus d’informations sur : https://techcommunity.microsoft.com/t5/Enterprise-Mobility-Security/End-of-support-for-TLS-1-0-and-1-1-in-Microsoft-Cloud-App/ba-p/770507

Microsoft a introduit un ensemble de nouveautés dans Azure Active Directory en juillet 2019.

Microsoft apporte les nouveautés suivantes :

• 18 nouvelles applications fédérées sont ajoutées à la galerie d’applications Azure AD avec notamment : Ungerboeck Software, Bright Pattern Omnichannel Contact Center, Clever Nelly, AcquireIO, Looop, productboard, MS Azure SSO Access for Ethidex Compliance Office, Hype, Abstract, Ascentis, Flipsnack, Wandera, TwineSocial, Kallidus, HyperAnna, PharmID WasteWitness, i2B Connect, JFrog Artifactory
• De nouvelles applications permettent la création, la mise à jour et la suppression d’utilisateurs : Dialpad, Federated Directory, Figma, Leapsome, Peakon, et Smartsheet
• Public Preview d’une nouvelle fédération directe B2B utilisant SAML/WS-Fed. Direct federation vous aide à travailler plus facilement avec des partenaires qui n’utilisent pas Azure AD, en travaillant avec des systèmes d'identité qui supportent les normes SAML ou WS-Fed. Une fois que vous avez établi une relation de fédération directe avec un partenaire, tout nouvel utilisateur invité que vous invitez à partir de ce domaine peut collaborer avec vous en utilisant son compte organisationnel existant, ce qui rend l'expérience utilisateur plus transparente pour vos invités.

• Un nouveau tag pour le service Azure AD Domain Services est disponible pour les groupes de sécurité réseau (NSG). Si vous ne souhaitez pas gérer de longues listes d'adresses IP, vous pouvez utiliser le nouveau tag de service AzureActiveDirectoryDomainServices dans votre groupe de sécurité réseau Azure pour sécuriser le trafic entrant vers votre sous-réseau virtuel Azure AD Domain Services.

• Public Preview des événements d’audit de sécurité pour Azure AD Domain Services. L'audit de sécurité permet d'avoir une vision critique des services d'authentification en diffusant les événements d'audit de sécurité vers des ressources ciblées, notamment Azure Storage, Azure Log Analytics et Azure Event Hub, en utilisant le portail Azure AD Domain Service.
• Nouvelle routine de vérification des noms de groupe dupliqués dans le portail Azure AD lors de la création ou de la mise à jour du groupe. Le portail vous demandera de modifier le nom si celui-ci est déjà utilisé.
• Les applications AD d'Azure peuvent maintenant s'enregistrer et utiliser des URIs de réponse (redirection) avec des paramètres de requête statiques (par exemple, https://contoso.com/oauth2?idp=microsoft) pour les requêtes OAuth 2.0. Le paramètre de requête statique est soumis à une chaîne de caractères correspondant aux URI de réponse, comme toute autre partie de l'URI de réponse. S'il n'y a pas de chaîne de caractères enregistrée qui correspond à l'URL-décodée redirect-uri, la requête est rejetée. Si l'URI de réponse est trouvée, la chaîne entière est utilisée pour rediriger l'utilisateur, y compris le paramètre de requête statique. Les URIs à réponse dynamique sont toujours interdites parce qu'elles représentent un risque pour la sécurité et ne peuvent pas être utilisées pour conserver des informations d'état dans une demande d'authentification. Pour ce faire, vous devez utiliser le paramètre d'état.
• Public Preview d’un rapport Authentication methods usage & insights afin de vous aider à comprendre comment des fonctionnalités comme l'authentification multi-facteurs et la réinitialisation des mots de passe en libre-service sont utilisées dans l’entreprise, y compris le nombre d'utilisateurs enregistrés pour chaque fonctionnalités, la fréquence à laquelle la réinitialisation des mots de passe en libre-service est utilisée pour réinitialiser les mots de passe et la méthode par laquelle elle est effectuée.

• Public Preview de nouveaux rapports de sécurité plus intuitifs. Une nouvelle bannière en haut des rapports de sécurité existants offre les fonctionnalités supplémentaires suivantes :
  • Filtrage et tri avancés
  • Actions en masse, telles que le rejet du risque d'utilisateur
  • Confirmation d’identités compromises ou sûres
  • État de risque : Dismissed, Remediated, et Confirmed compromised
• Microsoft a mis à jour les rapports du journal d'audit et de connexion afin que vous puissiez maintenant appliquer divers filtres sans avoir à les ajouter en colonnes sur les écrans de rapport. Vous pouvez aussi décider combien de filtres vous voulez afficher à l'écran.

• Les journaux d'activités d'Azure AD (rapports d'audit et de connexion) sont maintenant disponibles via le module Azure AD PowerShell. Auparavant, vous pouviez créer vos propres scripts à l'aide de l'API MS Graph, et maintenant Microsoft a éténdu cette capacité aux cmdlets PowerShell.

On retrouve les modifications de service suivantes :

• Mise à jour du service Azure AD Application Proxy pour ne supporter que TLS 1.2. Cette limitation sera initialement étendue aux clients qui utilisent déjà les protocoles TLS 1.2, sans impacte pour les autres. Le retrait complet des protocoles TLS 1.0 et TLS 1.1 sera terminée le 31 août 2019. Les clients qui utilisent toujours TLS 1.0 et TLS 1.1 ont reçu un message pour se préparer à ce changement.
• De nouvelles modifications de l'interface utilisateur sont apportées à la partie Add from the gallery depuis la tuile Add an application. Ces changements aideront à trouver plus facilement les applications qui prennent en charge le provisionnement automatique, OpenID Connect, Security Assertion Markup Language (SAML), et Password single sign-on (SSO).
• Le 26 juillet 2019, Microsoft a modifié la façon dont il fournit des jetons d'application seulement (App-only tokens) à travers l’autorisation des identifiants clients. Auparavant, les applications pouvaient récupérer les jetons en appelant d'autres applications, sans vérifier que l’application soit sur le tenant. Microsoft a mis à jour ce comportement pour que seules les ressources du tenant, ne puissent être appelées que par les applications client qui existent dans les ressources du tenant.

L’actualité concernant la partie Modern Workplace est très riche ! Il est parfois difficile de tout s’approprié. Cet article résume les différentes annonces :

Général

• Le centre de messages prend maintenant en charge la communication des messages relatifs à la confidentialité ou à la sécurité du service Microsoft 365 à un groupe restreint de destinataires. Une fois mis en œuvre, seuls l'administrateur global et le rôle Privacy Reader auront accès à ces messages.
• Microsoft Teams atteint 13 millions d’utilisateurs journalier actifs

• Public Preview de Desktop Analytics. Après de longs mois, Microsoft vient de donner la préversion de Desktop Analytics, le nouveau service dans le cloud remplaçant de Windows Analytics. Il va fournir des éléments d’analyse et d’automatisation afin d’être et rester à jour pour Windows 10 et Office 365. Ce service est proposé aux clients qui ont souscrit à Windows 10 E3 ou Microsoft 365 E3. A l’avenir ce service va être enrichi avec des éléments relatifs aux performances de la machine, etc.

Windows 10

• Passage en disponibilité générale de Windows 10 1903.

Enterprise Mobility + Security

Azure Active Directory

• Les nouveautés d’Azure Active Directory en juillet 2019

Microsoft Intune

• Voici les nouveautés de mi-juillet 2019
• Voici les nouveautés de fin juillet 2019

Office 365 et Office

• Office 365 est maintenant disponible sur la région South Africav
• Retrait de TLS 1.0 et 1.1 prévu pour le 1^er juin 2020 au niveau mondial.
• Changement dans le comportement de l’activation du client Office 365 ProPlus et Business pour améliorer les scénarios où le seuil du nombre de périphériques a été atteintv.
• Microsoft ajoute technologie intelligente supplémentaire à l'expérience de recherche dans Outlook pour iOS en introduisant une nouvelle fonctionnalité Discover, basée sur Microsoft Graph. Discover fournit un flux des fichiers Office de l’entreprise reliés aux personnes de votre organisation.
• Intégration des paramètres de contrôle sur la vie privée liés aux expériences connectées au Cloud pour Office pour Mac.
• Concernant Outlook on the web, on retrouve les nouveautés suivantes :
  • À compter du 22 juillet 2019, le nouvel Outlook on the Web est devenu l'expérience par défaut pour le courrier, le calendrier et les Personnes. Avec ce changement, les utilisateurs ne pourront plus revenir en arrière ou voir l'expérience classique. Le changement sera déployé après le 5 août pour les clients des versions non ciblées, le déploiement sera terminé pour tous les clients avant la fin septembre 2019.
  • Outlook on the Web met à jour la façon dont vous partagez des documents dans le Cloud à partir de OneDrive et Sharepoint. Maintenant, lorsque vous collez un lien pour un fichier OneDrive ou Sharepoint dans un message, il le remplacera par le nom du fichier et l'icône correspondante de l'application Office. Ce lien vous permettra également de gérer les permissions pour le fichier en utilisant un nouveau dialogue de partage.
  • Disponibilité de S/MIME sur Outlook on the web en allant dans Settings - Mail - S/MIME.
  • La gestion des sessions d'authentification vous permet de contrôler la fréquence à laquelle vos utilisateurs doivent entrer leurs informations d'identification. Par défaut, la durée de vie de la session est configurée sur une fenêtre de 90 jours. Avec cette mise à jour, vous pourrez configurer le timing des sessions authentifiées pour vos utilisateurs.
  • Outlook on the web permet maintenant d’inclure des sondages directement dans l’email afin que le destinataire puisse y répondre.
  • Il devient aussi plus facile de réserver une salle de réunion depuis Outlook on the web.
• Private Preview des stratégies d’expiration basées sur l’activité des utilisateurs pour les groupes Office 365. Ceci permet de s’assurer que tout groupe activement utilisé continue d'être disponible, contournant ainsi l'expiration. Cette fonctionnalité facilite la vie des utilisateurs, y compris les administrateurs, les propriétaires de groupes et les membres, en automatisant le processus d'expiration et de renouvellement par le suivi des groupes pour l'activité des utilisateurs sur différentes applications, comme Teams, SharePoint, Outlook, liés au groupe.

Communications unifiées

• Annonce du retrait de Skype for Business Online pour le 31 juillet 2021. Ni Skype (consommateur) ni Skype for Business On-premises ne seront affectés par le retrait du service Skype for Business Online. Les clients Skype for Business Online actuels subiront aucun changement dans le service jusqu'à la date de retrait. Pour s'aligner sur ce calendrier, la prise en charge de l'intégration des fournisseurs tiers d'audioconférence (ACP) dans Skype for Business Online a été prolongée jusqu'au 31 juillet 2021, avec un soutien limité pour les tenants actifs restants afin de leur laisser plus de temps pour la transition.

Collaboration

• Concernant SharePoint et OneDrive, on retrouve les éléments suivants :
  • Les auteurs SharePoint pourront télécharger des images dans le Canvas par glisser-déposer. SharePoint ajoutera automatiquement le visualiseur de fichiers et téléchargera le fichier dans la bibliothèque de documents.
  • Microsoft a ajouté un riche aperçu des liens collés dans l'éditeur de texte pour intégrer les vidéos des liens Stream et YouTube ou les images avec le titre et la description des autres liens.
  • SharePoint prend en charge les liens d'ancrage, qui permettent aux lecteurs de sauter à une partie spécifique de la page.
  • Les auteurs SharePoint auront la possibilité d'annuler les modifications avant l'enregistrement ou la publication.
  • Les pages modernes peuvent maintenant avoir des sections verticales.
  • Les recommandations SharePoint vous aident à découvrir de nouvelles pages SharePoint et de nouveaux messages d'actualité dans l’entreprise. Au bas des articles et des pages de de post de news SharePoint, vous commencerez à voir les recommandations SharePoint qui s'appliquent le mieux à vous. Les Recommandations SharePoint sont basées sur un modèle d'apprentissage automatique et prennent en compte le nombre de vues que les autres messages d'actualité et les pages SharePoint ont, votre relation avec les utilisateurs, etc.
  • Améliorations de l’édition rapide pour les listes et librairies de documents afin de permettre aux utilisateurs de modifier facilement leurs métadonnées en activant de nouvelles fonctions dans le mode de modification rapide, telles que le filtrage du contenu, le glisser-déposer des largeurs de colonnes, l'affichage de toutes les vues et le formatage des colonnes, ainsi qu'un meilleur support des types de champs utilisateur/choix.
  • Preview de l’intégration de OneDrive & SharePoint avec Azure AD B2B pour inclure le partage externe de fichiers, dossiers, liste d’objets, librairies de document et sites. Les utilisateurs externes sont automatiquement créés comme utilisateurs invités.
  • Les utilisateurs peuvent visionner des photos à 360 degrés de façon interactive et panoramique, directement dans Sharepoint et OneDrive for Business, lorsqu'ils cliqueront sur la photo pour l'afficher en détail. Toutes les photos à 360° téléchargées après la mise en ligne de cette fonction (essentiellement celles marquées d'une projection de type "Equirectangular") seront détectées comme telles. Autrement, les utilisateurs peuvent marquer manuellement leurs photos à 360 degrés pour terminer par ".360.jpg" ou ".360.jpeg" pour forcer l'activation de la visionneuse à 360 degrés, pour ces photos particulières.

• • Les utilisateurs peuvent sélectionner plusieurs articles dans SharePoint et les approuver ou les rejeter en masse.
  • Les sites de communication SharePoint auront un contrôle de pied de page prêt à l'emploi, qui peut être contrôlé à l'aide d'éléments d'interface utilisateur ou d'API.
  • Amélioration de l’éditions de page et de news dans SharePoint Online:
  • Mise à jour de l’expérience de OneDrive Mobile avec Fluent pour inclure les fichiers PDFs et scan dans la vue récente, une nouvelle expérience de sélection de fichiers, une expérience mise à jour de l’annotation des PDFs, une expérience revue des paramétrages, etc.
• Concernant Microsoft Teams, on retrouve les annonces suivantes :
  • Microsoft Teams arrive sur les installations existantes d’Office 365 ProPlus et Office 365 Business/Business Premium.
  • Il est possible de définir une priorité sur les messages critiques afin d’être sûr que le message est bien adressé.
  • Les administrateurs Microsoft Teams pourront visualiser l'aperçu des activités des événements en direct organisés dans l’entreprise via un rapport d’usage.
  • Preview des Sous-titres et traductions dans les événements en direct de Teams
  • Disponibilité régionale des événéments en direct (live events) sur US Government Communicy Cloud, India, Japan et Australia.
  • Les administrateurs peuvent retrouver Network Planner pour calculer les prérequis réseaux pour le déploiement de Teams.
  • Microsoft Teams supporte l’inscription en libre-service. Les utilisateurs de tenant hybrides qui ne sont pas dans Azure Active Directory pourront bientôt s'inscrire à Teams en utilisant leur adresse d’entreprise, ce qui créera une identité AAD et leur permettra d'utiliser Teams.
  • L'utilisateur a la possibilité d'envoyer ses commentaires à Microsoft. La nouvelle fonctionnalité est disponible sous Help > "Give feedback"
  • L’application Wakelet est maintenant disponible dans Teams pour permettre, d’organiser, partager du contenu pour l’éducation.
  • Les utilisateurs peuvent voir une liste d'auto-suggestion de personnes qu’ils peuvent mentionner lorsqu'ils tapent (@) le nom d'autres personnes.

• • Microsoft Teams propose aux propriétaires de Teams d’activer la modération pour un canal afin de contrôler qui peut commencer de nouveaux messages et répondre aux messages dans ce canal. Les propriétaires d'équipe peuvent également ajouter des membres de l'équipe comme modérateurs. Ces modérateurs de canal peuvent également contrôler les paramètres et donner des capacités de modérateur aux autres membres du canal.

• • Pour les utilisateurs Windows de Teams, vous pourrez désormais partager l'audio à partir de n'importe quel contenu que vous partagez pendant une session de partage d'écran ou d'application. Si vous souhaitez partager du contenu audio, les participants de votre réunion pourront désormais voir et entendre le contenu et l'audio partagés.
  • Une nouvelle fonctionnalité permet aux administrateurs des Teams d'assigner facilement un groupe de stratégies qui sont packagées en fonction du rôle des utilisateurs.
  • Mise à jour (4.0.105.0) de l’application Microsoft Teams Room pour inclure :
    • Mise à jour du thème : la console des périphériques Microsoft Teams Room est mise à jour avec l'apparence Microsoft Teams et les thèmes ne s'appliquent qu'aux affichages avant de la salle mais pas sur la console de la salle de réunion. Cela améliore grandement la lisibilité des commandes de la console et permet de s'assurer que les exigences en matière de contraste des couleurs pour l'accessibilité sont respectées. Microsoft sait que l'image de marque de l'entreprise sur la console est importante et va permettre d'ajouter le logo de l'entreprise sur la console dans les prochaines versions.
    • Les contrôles d’appels ont été mis à jour avec une barre universelle similaire aux clients PC et Mobile.
    • Microsoft intègre les fonctions permettant d’évaluer la qualité de l’appel de la même manière que sur les clients PC et mobile.
    • Support de Microsoft Whiteboard.
  • Microsoft Teams propose maintenant la résidence des données sur la région South Africa.

• Arrêt de StaffHub au profit de Microsoft Teams. Car ce dernier inclut les fonctionnalités qui simplifient la gestion des horaires pour notamment les employés de première ligne.
• Dans Stream, Les propriétaires et les administrateurs pourront remplacer les vidéos téléchargées ou les événements en direct par un nouveau fichier vidéo qui contiendra les URLs, les liens, le titre, la description, le nombre de vues et les préférences.
• Concernant Yammer, on retrouve l’arrivée du mode Question/Réponses pour mettre en évidence des questions et les réponses associés sur des réseaux.
• Pour Forms, on retrouve les nouveautés suivantes :
  • Forms supporte maintenant le transfert de l’appartenance pour des employés qui ont quitté l’entreprise.
  • La détection automatique s'effectue au moment de la conception des formulaires et si un contenu suspect d'hameçonnage (par exemple quel est votre mot de passe ?) est détecté, le formulaire sera automatiquement bloqué pour le partage et la collecte des réponses. Il ne s'agirait pas d'un blocage permanent, car le formulaire peut être débloqué si le concepteur du formulaire supprime la question suspecte. Cette nouvelle fonctionnalité s'appliquera à tous les formulaires publics.

Sécurité

• Disponibilité Générale de Threat & Vulnerability Management, une fonctionnalité intégrée de Microsoft Defender Advanced Threat Protection (Microsoft Defender ATP) qui utilise une approche basée sur les risques pour découvrir, hiérarchiser et corriger les vulnérabilités et les erreurs de configuration des périphériques. Les clients bénéficient de :
  • La découverte continue des vulnérabilités et des erreurs de configuration
  • L’Établissement des priorités en fonction du contexte opérationnel et du paysage dynamique des menaces
  • La corrélation des vulnérabilités avec les alertes de détection et de réponse des périphériques (EDR) pour mettre en évidence les brèches.
  • Le contexte de vulnérabilité au niveau de la machine pendant les enquêtes sur les incidents
  • Le processus de remédiation intégrés grâce à une intégration unique avec Microsoft Intune et Microsoft System Center Configuration Manager
• Office 365 ATP permet aux utilisateurs via le plugin Report Message de reporter des emails suspicieux à l’équipe sécurité et à Microsoft. Les équipes de sécurité des entreprises peuvent examiner ces messages rapportés par les utilisateurs dans le Centre de sécurité et de conformité Office 365 pour mieux comprendre les attaques que les utilisateurs voient et mettre à jour leurs politiques de sécurité.
• Nouvelle expérience d’investigation des menaces sur les identités dans Cloud App Securityv
• Microsoft a amélioré la gestion des rôles d'administrateur dans le centre d'administration de Microsoft 365. Il sera plus facile de voir qui a accès en tant qu'administrateur et d'assigner les rôles qui accordent le bon niveau d'accès à vos administrateurs.

Je ne crois pas connaître beaucoup d’entreprises qui utilisent encore System Center Configuration Manager 2007 et Forefront Endpoint Protection 2010 mais il est toujours bon de faire une piqure de rappel. Ces deux produits ne sont plus supportés depuis le 9 juillet 2019 ! il n'y a plus de nouvelles mises à jour de sécurité, de mises à jour non relatives à la sécurité, d'options de support (gratuit ou payant) ou de mises à jour de contenu technique en ligne. Microsoft a arrêté les mises à jour des définitions, du moteur et de la plate-forme pour FEP 2010.

Source : https://techcommunity.microsoft.com/t5/Configuration-Manager-Blog/End-of-support-for-Configuration-Manager-2007-and-FEP-2010-on/ba-p/432771

Microsoft a publié une série de vidéos visant à décrire les étapes sous forme de pas à pas pour préparer, déployer et optimiser un environnement Windows Virtual Desktop. Pour rappel, Windows Virtual Destkop est un service de VDI/Bureau à distance hébergé dans Microsoft Azure. Il permet d’héberger des machines virtuelles Windows 10 Enterprise ou Windows 7 SP1 Enterprise (avec support étendu) afin notamment d’exécuter des applications soit pour des problèmes de compatibilité soit pour donner accès à des ressources à distance. Les entreprises qui ont acheté Windows 10 Enterprise peuvent toutes bénéficier de ce service sans surcout de licences. Le seul coût est au niveau du calcul, du stockage et de la bande passante généré par ces machines virtuelles.

Step 1: Prepare prerequisites and your Windows Virtual Desktop tenant

Step 2: Deploy your Windows Virtual Desktop host pool and app groups

Step 3: Optimize Windows Virtual Desktop profiles, storage, and scaling

Microsoft vient de publier la Community Technology Preview 3.2 de SQL Server 2019. Cette version s’intègre à Apache Spark et HDFS dans une plateforme unifiée.

La CTP 3.2 ajoute les éléments suivants :

• Big data Clusters :
  • CTP 3.2 introduit azdata - un utilitaire en ligne de commande écrit en Python qui permet aux administrateurs de cluster de démarrer et de gérer le cluster de données via les API REST. azdata remplace mssqlctl.
  • Les noms de colonnes de tables externes sont maintenant utilisés pour interroger les sources de données SQL Server, Oracle, Teradata, MongoDB et ODBC. Dans les versions précédentes de CTP, les colonnes étaient liées uniquement sur la base de l'ordinal de la destination et les noms de colonnes dans la définition de table externe n'étaient pas utilisés.
  • Introduction d'une fonctionnalité de rafraîchissement pour l'étagement HDFS afin qu'une monture existante puisse être rafraîchie pour obtenir le dernier instantané des données à distance.
  • Introduction des notebooks Jupyter pour faciliter le déploiement et la découverte, le diagnostic et le dépannage des composants d'un SQL Server big data cluster.
• Language Extensions :
  • SQL Server inclut maintenant le support Zulu Embedded de Java d'Azul System pour l'ensemble du produit.
• SQL Server Analysis Services (SSAS)
  • Le service Power BI met en cache les données des tuiles du tableau de bord et les données des rapports pour le chargement initial du rapport Live Connect, ce qui entraîne un nombre excessif de requêtes de cache soumises au SSAS et, dans les cas extrêmes, surcharge le serveur. Cette version présente la propriété ClientCacheRefreshPolicy. Cette propriété vous permet de remplacer ce comportement au niveau du serveur.
  • Cette fonction permet d'attacher un modèle tabulaire comme une opération en ligne. Les rattachements onlines peuvent être utilisées pour la synchronisation des répliquas en lecture seule dans les environnements On-premises de mise à l'échelle des requêtes.
• SQL Server sur Linux
  • Change Data Capture (CDC) est maintenant supporté sous SQL Server 2019 pour Linux.

Plus d’informations sur : https://cloudblogs.microsoft.com/sqlserver/2019/07/24/sql-server-2019-community-technology-preview-3-2-is-now-available   

Télécharger SQL Server 2019 Community Technology Preview

Microsoft a publié un correctif à destination des entreprises ayant déployés System Center Configuration Manager 1906 en mode Early Update Ring. Ce correctif corrige le problème qui touche les rôles de sécurité personnalisés perdant leurs permissions sur les dossiers.
Cette mise à jour ne s'applique qu’aux entreprises ayant déployées la version Early Update Ring de Configuration Manager 1906. Elle ne s'applique pas aux environnements mis à jour avec Configuration Manager 1906 Slow Ring (disponible globalement sans l’exécution du script).

Cette mise à jour peut ne pas être applicable et ne pas être listée dans la console si l'environnement n'a pas de rôles de sécurité personnalisés.

Plus d’information sur la KB4515740 Custom security roles lose folder permissions after an update to Configuration Manager current branch, version 1906

Microsoft vient de mettre à disposition la Technical Preview 1908 (5.0.8860.1000) de System Center Configuration Manager. Pour rappel, ConfigMgr a subi une refonte de sa structure pour permettre des mises à jour aisées de la même façon que l’on peut le voir avec Windows 10. Si vous souhaitez installer cette Technical Preview, vous devez installer la Technical Preview 1804 puis utiliser la fonctionnalité Updates and Servicing (nom de code Easy Setup).

System Center Configuration Manager TP 1908 comprend les nouveautés suivantes :

Administration

• Dans le nœud Console Connections de la console d’administration, la colonne Last Console Heartbeat a remplacé Last Console Time. La colonne Last Console Heartbeat donne aux administrateurs plus d'informations pour déterminer quelles connexions de console sont actuellement actives. Lorsqu'une console ConfigMgr est ouverte, une vérification est effectuée toutes les 10 minutes. Si la console s'exécute au premier plan pendant la vérification, la colonne Last Console Heartbeat est mise à jour.

 Inventaires

• Lorsque vous utilisez CMPivot en dehors de la console Configuration Manager, vous pouvez interroger uniquement le périphérique local sans avoir besoin de l'infrastructure Configuration Manager. Vous pouvez maintenant utiliser les requêtes CMPivot Azure Log Analytics pour visualiser rapidement les informations WMI sur le périphérique local. Cela permet également de valider et d'affiner les requêtes CMPivot, avant de les exécuter dans un environnement plus large.

Gestion des mises à jour logicielles

• De la même manière qu'il est possible de créer des modèles de déploiement, il est maintenant possible de créer et d'utiliser des modèles de déploiement par phases (Phased Deployment) pour les mises à jour logicielles. Les modèles font gagner du temps lors de la configuration d'autres déploiements par phases avec des paramètres similaires.

• Selon des retours sur UserVoice, Microsoft a inclus un filtre supplémentaire aux règles de déploiement automatique (ADR) pour exclure les mises à jour déjà déployées.  Ce filtre aide à identifier les nouvelles mises à jour qui pourraient devoir être déployées dans vos collections pilote. Le filtre de mise à jour du logiciel peut également aider à éviter de redéployer les anciennes mises à jour. Lorsque vous utilisez Deployed comme filtre, n'oubliez pas que vous avez peut-être déjà déployé la mise à jour dans une autre collection, comme une collection pilote.

• Auparavant, Delivery Optimization ne pouvait être utilisée que pour les mises à jour express. Vous pouvez maintenant utiliser Delivery Optimization pour la distribution de tout le contenu Windows Update pour les clients exécutant Windows 10 version 1709 ou ultérieure. Vous devez configurer les paramètres suivants dans la partie Client Settings :
  • Allow clients to download delta content when available à Yes
  • Port that clients use to receive requests for delta content à 8005 (par défaut) ou un port personnalisé
• La fonctionnalité de gestion des mises à jour tierces inclut maintenant une capacité de régler la planification de synchronisation pour surcharger celle configurée par défaut.

Déploiement de système d’exploitation

• Selon des retours sur UserVoice, il est maintenant possible d’exécuter la séquence de tâches dans un mode de gestion d’énergie Haute Performance. Ceci permet d’accélérer l’exécution de la séquence de tâches et les performances. Ainsi, la séquence de tâches enregistre le plan d’énergie au début de la séquence de tâches puis change le plan dans le mode Haute Performance de Windows. A la fin de la séquence de tâches, le plan d’énergie est remis selon la valeur présente au début de la séquence de tâches.
  Note : Vous devez installer la dernière version du client et mettre à jour les images de démarrage avec les derniers binaires du client pour bénéficier de cette fonctionnalité.

• Il est maintenant possible de copier/coller des conditions de séquence de tâches afin de réutiliser la même condition sur une autre étape de la séquence de tâches. Si une condition a des conditions enfants, l’action de copie, copie le bloc entier. S'il y a une condition dans le presse-papiers, vous pouvez la coller avec les options suivantes :
  • Coller avant
  • Coller après
  • Coller sous (ne s'applique qu'aux conditions imbriquées)

Note : La copie n’est pas supportée entre différentes séquences de tâches !

• Amélioration de l’outil de recherche dans l’éditeur de séquence de tâches pour inclure :
  • La liste des options de recherche s'appelle maintenant Scope. Utilisez-le pour sélectionner les zones de l'éditeur de séquence de tâches à rechercher. Vous pouvez maintenant utiliser les flèches Alt + Bas pour ouvrir cette liste.
  • Au lieu d'effectuer une recherche par groupe, vous pouvez maintenant effectuer une recherche par nom de groupe ou par description de groupe.

• Lors de l'import d'un package de mise à niveau d'OS, vous pouvez Extraire un index d'image spécifique du fichier install.wim du package de mise à niveau sélectionné. Ce comportement est similaire à celui des images du système d'exploitation, sauf qu'il écrase le fichier install.wim existant dans le package de mise à niveau du système d'exploitation. Il extrait l'index de l'image vers un emplacement temporaire, puis le déplace dans le répertoire source original. Avant d'importer un package de mise à niveau du système d'exploitation et d'activer cette option, assurez-vous de sauvegarder les fichiers sources originaux. Configuration Manager écrase le fichier install.wim dans le source pour utiliser l'index de l'image extraite.

• Basé sur des feedbacks UserVoice, il est maintenant possible de configurer la langue par défaut du clavier pour une image de démarrage. Dans l'onglet Customization d'une image de démarrage, utilisez la nouvelle option pour Set default keyboard layout in WinPE. Dans la console, si vous sélectionnez une autre langue qu’en-us, Configuration Manager inclut toujours en-us dans les locales d'entrée disponibles. Sur l'appareil, la disposition initiale du clavier est la locale sélectionnée, mais l'utilisateur peut changer sur en-us si nécessaire.

• Basé sur des feedbacks UserVoice, l'étape Run Command Line inclut maintenant une option pour mettre le résultat de sortie dans variable de séquence de tâche. Configuration Manager limite le résultat aux 1000 derniers caractères. Cette modification s'applique à la fois à Run Command Line et Run Powershell Script.

• Basé sur des feedbacks UserVoice, utilisez les cmdlets PowerShell suivants pour automatiser la gestion des doublons d’identifiants matériels :
  • New-CMDuplicateHardwareIdGuid
  • Remove-CMDuplicateHardwareIdGuid
  • New-CMDuplicateHardwareIdMacAddress
  • Remove-CMDuplicateHardwareIdMacAddress

Plus d’informations sur : https://docs.microsoft.com/en-us/sccm/core/get-started/2019/technical-preview-1908

Aujourd’hui, je vous partage une erreur que vous pourriez rencontrer sur le scénario Windows Autopilot White Glove. Pour rappel, ce scénario permet à l’entreprise de faire préparer la machine par l’OEM, un intégrateur ou un prestataire de service. Ce dernier lance le processus afin d’appliquer les configurations machines (Applications, Stratégies, etc.). La machine s’éteint ensuite et peut être envoyée à l’utilisateur. L’utilisateur démarre la machine et finit la phase de provisionnement en appliquant les éléments qui lui sont ciblés directement (Applications spécifiques, paramétrages spécifiques, etc.).

Le problème survient avec Windows 10 1903. Lorsque vous pressez 5 fois la touche Windows et que vous sélectionnez Windows Autopilot provisioning, il vérifie les mises à jour. C’est à ce moment que le processus renvoie l’erreur :

"Something went wrong" with the error "AUTOPILOTWHITEGLOVEUPDATE"

Microsoft a publié un correctif le 25 juillet qui corrige ce problème. Vous devez injecter la KB4505903 à l’image WIM avant d’installer le système qui sera utilisé pour Windows Autopilot White Glove.

Office 365 ProPlus va prochainement (d’ici la fin de l’année) intégrer nativement la fonction de classification proposée par Azure Information Protection. Ceci permettra aux entreprises de bénéficier d’Azure Information Protection sans avoir à déployer le composant additionnel (add-in).

Si vous souhaitez utiliser Azure Information Protection, deux options s’offrent à vous :

• Utiliser la fonction Native Labeling d’office ProPlus : Office télécharge les étiquettes/label et les paramètres de stratégie de l'Office 365 Security & Compliance Center. Ce mode ne prend en charge que la classification manuelle (pas de classification automatique pour l’instant) et contient un ensemble limité de fonctionnalités de classification.
• Continuer à utiliser les composants additionnels d'Azure Information Protection, y compris la classification manuelle, la classification automatique et un ensemble enrichi de capacités de classficiation et de conditions complexes.

Note : Pour voir les différences de fonctionnalités à date, vous pouvez lire cet article : https://docs.microsoft.com/en-us/azure/information-protection/rms-client/use-client?branch=pr-en-us-2819#feature-comparisons-for-the-clients

Le comportement par défaut pour les utilisateurs d’Office 365 ProPlus sera d’utiliser la fonction Native Labeling.

Vous pouvez néanmoins gérer ce comportement et basculer sur l’usage des composants additionnels d'Azure Information Protection via une GPO.

• Clé : HKEY_CURRENTUSER\Software\Microsoft\Office\16.0\Common\Security\Labels
• Valeur :
  • Type : REG_DWORD
  • Nom : UseOfficeForLabelling
  • Valeur (pour désactiver) : 0

L’équipe Azure Information Protection a publié un très bon billet pour expliquer les enjeux de la migration vers le modèle de classification unifiée (Unified Labeling). L’article rappelle notamment que cette migration ne comprend aucun risque. Il rappelle aussi quels sont les deux portails permettant de gérer les classifications/étiquettes et les produits associés :

• L’espace Azure Information Protection dans le portail Azure supporté par :
  • Le client Azure Information Protection (classic)
  • L’Azure Information Protection scanner
  • Microsoft Cloud App Security
• La console de classification unifiée (Unified labeling) dans Office 365 Security & Compliance Center supportée par :
  • Le client Azure Information Protection unified labeling
  • Microsoft Cloud App Security
  • Office apps pour MacOS
  • Office apps pour Android
  • Office apps pour iOS
  • Microsoft Information Protection SDK et les applications qui en sont basées (Par exemple: Adobe Acrobat)
  • Prochainement:
    • SharePoint Online
    • Office for the web
    • La classification intégrée à Office pour Windows (pas de composant additionnel nécessaire)
    • Outlook web app
    • Outlook Mobile (iOS et Android)
    • L’Azure Information Protection scanner

L’article rappelle et détaille aussi les grandes phases de cette migration :

• Phase 1 : La planification
• Phase 2 : La migration du service
• Phase 3 : Le déploiement du client

Plus d’informations sur le processus global en lisant : Understanding Unified Labeling migration

Microsoft a publié une nouvelle version (2.2.19.0) du client Unified Labeling d’Azure Information Protection. Cette version apporte les éléments suivants :

• Le client peut télécharger avec succès sa stratégie et afficher les étiquettes de sensibilité. Ce correctif est nécessaire après la mise à niveau d'une version précédente et si vous n'avez configuré aucun type d'information personnalisée dans le labeling center.
• Améliorations générales des performances et de la stabilité.

Le client Unified Labeling couvre pour l’instant les fonctionnalités standards et la classification automatique. Les fonctionnalités avancées sont attendues prochainement. Pour rappel, Azure Information Protection permet de classifier et labéliser la donnée au moment de la création en fonction de différentes catégories. L’administrateur peut ensuite appliquer des stratégies de protection embarquée dans la donnée en fonction de la classification appliquée. Ce service est issu du rachat de Secure Islands et vient englober Azure Rights Management (RMS).

Vous trouverez la comparaison des fonctionnalités entre le client et le client Unified Labeling.

Plus d’informations sur la version du client AIP Unified Labeling

Télécharger Azure Information Protection unified labeling client

Azure Information Protection est un outil formidable pour classifier et protéger la donnée. Il peut être un bon moyen de se mettre en conformité vis-à-vis d’une partie des règles de la GDPR. Azure Information Protection couplé à Exchange Online (Office 365) peut automatiquement chiffrer les emails sensibles sans que l’utilisateur ait besoin de réaliser une action. Il faut pour cela utiliser les règles de chiffrement basé sur les classifications des types de données.

Voici la procédure à suivre :

1. Connectez vous à Exchange Online.

$UserCredential = Get-Credential

$Session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://outlook.office365.com/powershell-liveid/ -Credential $UserCredential -Authentication Basic -AllowRedirection

Import-PSSession $Session

2. Configurez le mode de chiffrement S/MIME

Set-IRMConfiguration -DecryptAttachmentForEncryptOnly $true

3. Créez une règle de flux d’email Exchange Online qui initie la stratégie de protection contre la perte de données (DLP) :

New-TransportRule -Name "Default Office 365 OME policy - Encrypt external sensitive mails"

-SentToScope NotInOrganization

-ApplyRightsProtectionTemplate "Encrypt"

-MessageContainsDataClassifications @(@{Name="France Driver's License Number"; minCount="1"},@{Name="Credit Card Number"; minCount="1"},@{Name="France National ID Card (CNI)"; minCount="1"},@{Name="France Passport Number"; minCount="1"},@{Name="France Social Security Number (INSEE)"; minCount="1"})

Note : Vous devez spécifier dans la partie en gras :

• Le nom de la règle
• Les classifications de données à appliquer à cette règle. L’exemple ci-dessus ne comprend que les types de données relatifs à de la donnée française.

Je vous recommande bien entendu de valider ceci sur un environnement de test ou préproduction.

Microsoft a annoncé un problème touchant Microsoft Intune concernant les stratégies de déploiement du client Office 365 ProPlus. Les entreprises sont concernées si elles déploient Office Pro Plus et Visio/Project sur des utilisateurs en utilisant Microsoft Intune. Si un utilisateur est ciblé par plus d'une stratégie Office Pro Plus, une seule d'entre elles sera délivrée au périphérique d'un utilisateur final. L’exemple le plus concret est le suivant :

• Vous ciblez Office Pro Plus sur un groupe d'utilisateurs en tant qu'installation obligatoire sur le périphérique.
• Maintenant, vous voulez rendre Visio et/ou Project disponible à un sous-ensemble de ces utilisateurs en tant qu'installation optionnelle.

L'installation ne peut se faire que dans l'une de ces suites ; dans ce cas, seule l'installation requise est exécutée. Les stratégies sont en conflit et renvoient des erreurs. Les administrateurs et les utilisateurs peuvent voir le code d'erreur 0x87D1041E dans leurs portails respectifs.

Si vous êtes concerné par ce problème, à court terme, vous pouvez regrouper Office Pro Plus et Visio/Project selon vos besoins dans une seule stratégie, ce qui vous permettra de vous assurer que Visio et Project sont disponibles pour vos utilisateurs. Vous pouvez également créer une stratégie pour rendre Office Pro Plus avec Visio/Project disponible. Cependant, toutes les applications Office devront être fermées pour que l’utilisateur puisse télécharger Visio ou Project à partir du portail d'entreprise.

Microsoft travaille à corriger ce problème.

Plus d’informations sur : https://aka.ms/intune_visio_project