• [Autopilot] Renommer un périphérique Windows 10 Hybrid Azure AD Join déployé par Windows Autopilot

    Je me permets de partager bon billet de l’équipe des PFE Microsoft décrivant comment renommer un périphérique Windows 10 Hybrid Azure AD Join, déployé par Windows Autopilot et Microsoft Intune. Il existe nativement dans Microsoft Intune une fonctionnalité permettant de renommer les périphériques. Celle-ci s’applique à iOS, macOS, et Windows 10 mais uniquement ceux Azure AD Join.

    Le mode Hybrid n’est donc pas supporté et vous êtes donc contraint d’utiliser les règles de nommage de Windows Autopilot qui sont pour l’instant assez limitées. Néanmoins, si vous mettez en place du Co-Management et que vous déployez le client System Center Configuration Manager par Microsoft Intune, vous pouvez facilement utiliser une séquence de tâches pour renommer la machine selon la convention de nommage que vous souhaitez.

    C’est l’objet du billet que je vous partage : Rename Hybrid Joined Computers deployed via Autopilot

  • [Intune] L’enregistrement automatique de machines Windows 10 Hybrid Azure AD Join échoue avec l’erreur 0x80180001

    Récemment un client a commencé à voir apparaître des erreurs lors de l’enregistrement automatique par la GPO de machines Windows 10 Hybrid Azure AD Join dans Microsoft Intune. Ces machines s’enregistraient jusqu’alors sans problème. Après vérification via la commande dsregcmd /status, la machine a correctement réalisé son opération d’Hybrid Azure AD Join. On peut observer la récupération de l’Azure AD PRT nécessaire à l’opération d’enregistrement.

    Si vous ouvrez l’observateur d’événements et que vous naviguez dans Applications and Services Logs – Microsoft - Windows – DeviceManagement-Enterprise-Diagnostics-Provider puis Admin, vous pouvez observer les événements suivants :

    Event ID : 52
    MDM Enroll: Server Returned Fault/Code/Subcode/Value=(MessageFormat) Fault/Reason/Text=(Device based token is not supported for enrollment type OnPremiseGroupPolicyCoManaged).

    EventID : 71
    Inscription GPM : échec (Unknown Win32 Error code: 0x80180001)

    EventID : 76
    Inscription GPM automatique : informations d’identification de l’appareil (0x1), échec (Unknown Win32 Error code: 0x80180001)

    Le premier événement donne une piste intéressante, indiquant un problème avec le token utilisé pour s’enregistrer. Après avoir vérifié, le client avait mis à jour ses fichiers ADMX avec la dernière version Windows 10 1903. Il s’avère que cette version d’ADMX met à jour le paramètre existant : Auto MDM Enrollment with AAD Token utilisé pour réaliser l’enregistrement automatique. Celui-ci est renommé Enable automatic MDM enrollment using default Azure AD credentials et ajoute une sous option permettant de spécifier le mode d’authentification choisi. L’administrateur peut choisir User Credential ou Device Credential.

    La configuration réalisée sur la stratégie du client était définie sur Device Credential.

    En passant l’option sur User Credential, les machines se sont mises à réaliser l’enregistrement automatique dans Microsoft Intune correctement.

    L’effet pervers semble être que lors de la mise à jour de l’ADMX, ceci met à jour le paramétrage et assigne automatiquement la valeur Device Credential puisqu’elle est la première de la liste. Or le comportement jusqu’alors est d’utiliser les identifiants de l’utilisateur (User Credential).

    Note : Device Credential n’est censé être applicable que pour les machines Windows 10 1903 et les anciennes versions sont censées utilisée User Credential quelque soit le paramétrage définit. Néanmoins, les observations que nous avons pu réaliser, contredisent ceci.

    Vous pouvez vérifier la configuration d’un poste en allant regarder le registre : HKLM\Software\Policies\Microsoft\Windows\CurrentVersion\MDM\UseAADCredentialType

    • User Credential : 1
    • Device Credential : 2
  • [AIP] Nouvelles versions des clients AIP (1.54.33.0) et AIP Unified Labeling (2.5.33.0)

    Microsoft vient de publier les versions 1.54.33.0 du client Azure Information Protection et 2.5.33.0 du client Azure Information Protection Unified Labeling.

    La version 1.54.33.0 du client AIP classique comprend des corrections de stabilité et de performance ainsi que la version 1.0.4008.0813 du client RMS.

     

    La version 2.5.33.0 du client AIP Unified Labeling comprend les fonctionnalités suivantes:

    • La version Preview du Scanner Unified Labeling pour inspecter, labéliser/étiqueter les documents sur les serveurs internes.
    • Set-AIPAuthentication a de nouveaux paramètres : AppId, AppSecret, TenantId, DelegatedUser, et OnBehalfOfOf
    • Nouvelle cmdlet, Export-AIPLogs, pour rassembler tous les fichiers journaux de %localappdata%\Microsoft\MSIP\Logs et les enregistrer dans un seul fichier compressé qui a un format.zip.
    • Nouveau paramétrage avancé de stratégie pour l’étiquetage PowerShell afin d’étendre les règles de migration de label aux propriétés SharePoint.
    • Le label/étiquette applique affiche la couleur configurée pour le label/l’étiquette, si une couleur a été configurée.
    • Lorsque vous ajoutez ou modifiez des paramètres de protection à un label/étiquette, le client applique à nouveau le label/étiquette avec ces derniers paramètres de protection lors du prochain enregistrement du document.
    • Support des ordinateurs déconnectés en exportant les fichiers d'un client et en les copiant manuellement sur l'ordinateur déconnecté.
    • Les types d'informations sensibles personnalisés correspondants sont envoyés à Azure Information Protection Analytics.

    La version 2.5.33.0 du client AIP Unified Labeling comprend les corrections de bugs suivantes:

    • Le problème de cache MIP SDK récemment découvert a un impact sur les clients AIP Unified Labeling. Ce problème peut empêcher les clients AIP UL de télécharger les mises à jour des polices.
    • Vous pouvez ouvrir avec succès un fichier protégé à l'aide de l'Explorateur de fichiers et cliquez avec le bouton droit de la souris après avoir supprimé un mot de passe pour le fichier.
    • Les fichiers sans droits d'exportation peuvent maintenant être ouverts avec la visionneuse.
    • Réinitialiser les paramètres supprime maintenant les dossiers %LocalAppData%\Microsoft\MSIP\mip\<ProcessName.exe> au lieu du dossier %LocalAppData%\Microsoft\MSIP\mip\<ProcessName>\mip.
    • Get-AIPFileStatus inclut maintenant l'ID du contenu d'un document protégé.

     

    Télécharger Microsoft Azure Information Protection

  • [Windows 10] Réinitialisation du PC depuis le Cloud : Quel intérêt ?

    Il y a quelques semaines, Microsoft publiait l’arrivée d’une nouvelle fonctionnalité proposée avec Windows 10 Insider 18970 permettant de réaliser sa réinitialisation depuis le Cloud. Vous pouvez ainsi lancer une réinitialisation de votre machine et récupérer les sources de réinstallation de Windows en les téléchargeant directement depuis chez Microsoft. L’option est disponible depuis le système d’exploitation ou en mode de dépannage depuis Windows RE.

    On peut se demander quel est l’intérêt sachant que cette fonctionnalité téléchargera la version de Windows 10 équivalente à celle déjà installée. En réalité, cette option rend le processus de réinitialisation beaucoup plus rapide lorsque vous avez accès à une très bonne connexion à Internet.

    Dans le cas de la réinitialisation classique (à partir des sources du système d’exploitation local), le processus reconstruit le système d'exploitation composant par composant à partir du dossier WinSXS à l'aide de la Servicing Stack. Ceci requiert un traitement très important qui n’est pas seulement une simple lecture et une écriture séquentielle.  Ce processus génère en lui-même entre 4 et 10 fois le nombre d'entrées-sorties nécessaires pour écrire et appliquer une image.

    Ceci justifie ainsi que le processus réinitialisation depuis le Cloud puisse être 4 à 10 fois plus rapide.

    Plus d’informations sur : Optimize Windows 10 PC reset using the cloud

  • [Desktop Analytics] Les nouveautés d’Octobre 2019

    Desktop Analytics étant un service comme Microsoft Intune, on retrouve des mises à jour de service continuelle. Comme pour Microsoft Intune, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

    • Vous pouvez migrer vos données d’un workspace Windows Analytics existants vers Desktop Analytics après la phase d’Onboarding. Parmi les données migrées, on retrouve l’importance des applications, les propriétaires des applications. Cependant les décisions de mise à niveau, les plans de test et les résultats de test ne sont pas migrés. Il est à noter qu’il n’est pas de migrer plusieurs Workspace Windows Analytics et cette action ne peut être réalisée que lors de la phase d’onboarding. Vous ne pouvez pas le faire après la mise en place du service.
    • Desktop Analytics fournit désormais des détails supplémentaires lorsqu'il détecte que la mise à niveau de Windows supprimera complètement ou partiellement une application ou un driver/pilote.

    Plus d’informations sur : What’s new in Desktop Analytics

  • [Microsoft Defender ATP] Les nouveautés d’Octobre 2019

    Voici un résumé des changements et fonctionnalités apportés à Microsoft Defender Advanced Threat Protection (ATP) introduit dans le mois.

    • La fonctionnalité d’experts sécurité à la demande Microsoft Threat Experts est en disponibilité générale. Microsoft intègre la fonction depuis plusieurs emplacements du portail Microsoft Defender ATP dont notamment le menu Help and Support, la page Machine, le menu d’action sur les alertes, le menu d’action sur les fichiers.

    • La page des applications connectées permet d’afficher toutes les applications Azure AD qui se connecte à Microsoft Defender ATP (Graph Explorer, etc.). Cela permet par exemple d’identifier les applications qui accèdent aux données, etc.

    • API Explorer vous permet de créer des requêtes API qui peuvent être tester sur les points de terminaison de l’API MDATP. Ceci est notamment utile dans des phases de développement pour les intégrations que vous pourriez opérer.

    Plus d’informations sur : What’s new in Microsoft Defender ATP

  • [Windows Server 2019] Possibilité de bloquer des versions de TLS en fonction du certificat

    Microsoft vient de proposer une nouvelle capacité intéressante pour éliminer peu à peu TLS 1.0 au profit de TLS 1.2. Cette fonctionnalité apparait avec la KB4490481 de Windows Server 2019 qui permet de bloquer des versions de TLS en fonction de certificats spécifiques. En gros, vous pouvez désigner une liste de certificat qui continuent de fonctionner avec TLS 1.0 alors que les autres fonctionneront avec TLS 1.2+.

    Les modifications sont implémentées dans HTTP.sys et, en conjonction avec l'émission de certificats supplémentaires, permettent au trafic d'être acheminé vers le nouveau terminal avec la version TLS appropriée.

    Plus d’informations sur : TLS version enforcement capabilities now available per certificate binding on Windows Server 2019

  • [VDI] Un script d’optimisation de la configuration de Windows 10+

    L’arrivée de Windows Virtual Desktop risque de changer la donne mais pour les entreprises qui font du Virtual Desktop Infrastructure (VDI) On-Premises, voici un script qui permet d’optimiser la configuration de Windows 10 pour le VDI.

    Le script n’est ni plus ni moins que la configuration automatique des bonnes pratiques listées dans la documentation : Optimizing Windows 10, Build 1803, for a Virtual Desktop Infrastructure (VDI) role

    On retrouve notamment :

    • Un nettoyage des packages App-X
    • Un nettoyage de OneDrive
    • Une modification de certains éléments du registre (ajout, suppression, etc.)
    • L’application de stratégies de groupes locales
    • La désactivation de certaines tâches planifiées
    • La désactivation de certains services

    Note : Le script a une dépendance sur LGPO.exe

    Télécharger le script W10_1803_VDI_Optimize

  • [SCCM CB] Où en est Microsoft IT avec le Co-Management de System Center Configuration Manager ?

    Microsoft a publié un billet résumant la situation concernant la mise en œuvre du Co-Management entre System Center Configuration Manager Current Branch et Microsoft Intune. Microsoft se donne pour objectif de basculer toutes les charges de travail d’ici à un an.

    Voici le résumé de l’état :

    • 220 000 périphériques co-gérés dont
      • 200 000 périphériques Hybrid Azure AD Joined
      • 20 000 périphériques Azure AD Joined
    • La charge complètement basculée sont les stratégies de conformité (Compliance Policies)
    • Microsoft est en train de mener un pilot avec les éléments de sécurité (Endpoint Protection) et les stratégies d’accès aux ressources (Resource access policies).
    • Les autres charges de travail n’ont pas été touchée : Device Configuration, Client Apps, Office Click-to-Run apps, Windows Update for Business.

     

    Source : https://techcommunity.microsoft.com/t5/Device-Management-in-Microsoft/Co-Management-at-Microsoft/ba-p/902597

  • Publication de la version d’Octobre 2019 d’Azure Data Studio

    Microsoft publie une nouvelle version (Octobre 2019) d’Azure Data Studio, précédemment connu sous le nom SQL Operations Studio. Azure Data Studio offre une expérience d'éditeur moderne avec IntelliSense, des extraits de code, l'intégration du contrôle des sources et un terminal intégré.

    Les utilisateurs passent de plus en plus de temps à travailler sur l'édition des requêtes que sur toute autre tâche avec SQL Server Management Studio. Pour cette raison, Azure Data Studio a été conçu pour se concentrer en profondeur sur les fonctionnalités les plus utilisées, avec des expériences supplémentaires disponibles comme des extensions optionnelles. Cela permet à chaque utilisateur de personnaliser son environnement comme il utilise le plus souvent.

    Cette version intègre les changements suivants :

     

    Quand utiliser Azure Data Studio ?

    • Vous devez utiliser macOS ou Linux
    • Vous devez vous connecter sur un cluster big data SQL Server 2019
    • Vous passez plus de temps à éditer ou exécuter des requêtes
    • Vous voulez de visualiser rapidement des graphiques et de visualiser des ensembles de résultats
    • Vous avez un besoin minimal d’assistants
    • Vous n'avez pas besoin de faire de configuration administrative profonde

    Quand utiliser SQL Server Management Studio ?

    • Vous passez la plupart de votre temps à des tâches d'administration de bases de données.
    • Vous avez besoin de faire une configuration administrative importante
    • Vous effectuez la gestion de la sécurité, y compris la gestion des utilisateurs, l'évaluation des vulnérabilités et la configuration des éléments de sécurité.
    • Vous utilisez les rapports pour SQL Server Query Store
    • Vous devez faire des optimisations de la performance et utiliser des tableaux de bord
    • Vous avez besoin d'accéder aux serveurs enregistrés et de contrôler les services SQL Server sous Windows

    Plus d’informations : https://cloudblogs.microsoft.com/sqlserver/2019/10/02/the-october-2019-release-of-azure-data-studio-is-now-available/

    Pour rappel, ces outils sont disponibles depuis Windows, macOS, et Linux pour permettre de gérer SQL Server, Azure SQL Managed Instance, Azure SQL Database, Azure SQL Data Warehouse, et SQL Server 2019 Big Data Clusters.

    Télécharger Azure Data Studio

  • [Azure] Microsoft publie un ebook sur le Cloud de confiance

    Microsoft a mis à jour un ebook pour apporter des réponses quant à la confiance que vous apportez au Cloud. Cet ebook de 42 pages revient sur 5 grands enjeux :

    • Sécurité couvre les multiples services qui constituent l’approche de défense de Microsoft, y compris de nouveaux services (Azure Sentinel, etc.).
    • Confidentialité offre une description détaillée des pratiques et des normes rigoureuses en matière de protection de la vie privée utilisées par Azure, ainsi que des outils offerts aux clients pour protéger leur vie privée.
    • Conformité: Azure offre maintenant une des meilleures offres de conformité de l'industrie (avec 92 certifications). Microsoft a également ajouté de nouveaux services comme Azure Blueprints, qui vous fournit des modèles pour créer, déployer et mettre à jour des environnements cloud entièrement régis afin de répondre aux exigences de conformité.
    • Fiabilité et Résilience couvre à la fois le maintien de la fiabilité d'Azure de manière fiable et constante et être capable de réagir aux pannes de manière à éviter les temps d'arrêt et les pertes de données.
    • Protection de la propriété intellectuelle décrit les protections uniques d'Azure en matière de propriété intellectuelle (PI), y compris concernant le code source.

     

    Télécharger l’ebook dans son intégralité

  • [SCCM CB] Déployer des mises à jour de sécurité étendue (Windows 7, Windows Server 2008 & 2008 R2, etc.) ?

    La fin de support de Windows 7 est attendu pour le 14 Janvier 2020, certaines entreprises vont faire le choix d’acheter les mises à jour de sécurité étendues (Extended Security Updates). Les mises à jour de sécurité publiées dans le cadre du programme ESU seront publiées dans Windows Server Update Services (WSUS).

    Toutes les mises à jour de sécurité étendues seront visibles par tous les serveurs WSUS mais ne deviendront applicables que pour les machines qui répondent à ce prérequis :

    • Ont installé les mises à jour suivantes : KB4516033 et KB4516048
    • Ont activé la clé MAK correspondante aux mises à jour de sécurité étendues.

    Mais quand est-il de System Center Configuration Manager ? Normalement, System Center Configuration Manager suit les règles de support des systèmes et ne fournira plus de support Windows 7 et Windows Server 2008 & 2008 R2.

    Néanmoins pour répondre à ce besoin spécifique, Microsoft va assurer le support de ces systèmes mais uniquement avec la dernière version System Center Configuration Manager (Current Branch). Ce support sera assuré uniquement pour les mises à jour logicielles et le déploiement de système d’exploitation (pour vous permettre éventuellement de migrer). Les autres fonctionnalités ne seront pas officiellement supportées et Microsoft n’adressera pas les éventuels problèmes.

    Microsoft assure le support d’Office 365 ProPlus sur les machines Windows 7 en mode ESU jusqu’en Janvier 2023. Les mises à jour de sécurité mensuelles pourront être déployées avec ConfigMgr néanmoins les mises à jour de fonctionnalités ne pourront être déployées car non supportées.

    System Center Configuration Manager 2007 ou 2012 ne pourront pas être utilisés pour déployer ces mises à jour spécifiques.

    Plus d’informations sur :

    Voici le document officiel

  • [Intune] Fin prochaine du support de la console Silverlight

    Microsoft vient d’annoncer qu’il allait retirer le support de la console Microsoft Intune en Silverlight (l’ancienne version) à partir du 15 octobre 2020. Vous n’utilisiez déjà surement plus cette console puisqu’elle est aujourd’hui indiquée pour la gestion des PCs Windows (et notamment Windows 7) avec l’ancien agent Intune. Toutes les autres fonctionnalités ont été déplacées vers le portail Microsoft Azure ou Device Management Console.

    Les clients impliqués ont été prévu par le centre de messages du portail Office.

    Pour vos machines qui sont encore gérées avec l’agent Intune, vous devez :

    • Les migrer vers Windows 10
    • Les enregistrer dans Microsoft Intune avec la gestion de périphérique moderne (MDM)
    • Déployer les stratégies adéquates

    Source : https://techcommunity.microsoft.com/t5/Intune-Customer-Success/Take-Action-Microsoft-Intune-ending-support-for-the-Silverlight/ba-p/916249

  • [Intune] Problème Connu : Les périphériques iOS et Android ne reçoivent pas les notifications

    Annoncé il y a quelques semaines, Microsoft Intune permet maintenant l’envoi de notifications personnalisées sur les périphériques iOS et Android. Microsoft a posté un message d’incident IT192763 dans le centre de messages du portail Office pour cette fonctionnalité et pour les entreprises touchées. Le problème est survenu à cause d’une panne d’Azure Notification Hub et les utilisateurs finaux nouvellement enregistrés dans Intune peuvent avoir besoin d'ouvrir leur application Portail d'entreprise pour la resynchroniser afin de pouvoir voir les notifications personnalisées. Toutes les autres fonctions fonctionnent comme prévu.

    Le problème concerne surtout les utilisateurs iOS qui doivent rouvrir le portail d’entreprise pour résoudre le problème. Sur Android, le problème a dû se corriger de lui-même lors de la synchronisation suivante.

  • [Autopilot] Comment dépanner Windows Autopilot ?

    Qui mieux que Michael Niehaus (MSFT) peut vous guider pour dépanner Windows Autopilot après les nombreuses heures qu’il a pu passer sur la technologie ? Il propose aujourd’hui un billet vers lequel je vous invite à passer du temps pour comprendre la méthodologie qu’il utilise en cas de problème et comment dépanner Windows AutoPilot.

    Il revient sur :

    • L’outil de rassembler des informations de diagnostic : MDMDiagnosticsTool.exe
    • Les différents fichiers de journalisation
    • Les différents fichiers JSON, etc.

    Bref c’est une mine d’informations que je vous invite à consulter : Troubleshooting Windows Autopilot, a reference

  • [Intune] Des machines renvoient de multiples clés de restauration pour la partition système

    En mettant en œuvre la gestion de BitLocker sur Windows 10 via Microsoft Intune chez un de mes clients, j’ai constaté un problème où les machines renvoyaient indéfiniment de nouvelles clés de restauration pour la partition système.

    Ce problème survient si vous avez configuré une stratégie Endpoint Protection en activant des paramétrages pour le chiffrement de Windows (Windows Encryption). Vous avez par exemple configuré les options suivantes :

    • Encrypt Devices pour activer le chiffrement BitLocker sur les machines cibles
    • L’option Additional authentication at startup est à Require et permet de configurer les modes de validation BitLocker (TPM, TPM+PIN, TPM+Dongle, TPM+PIN+Dongle)..
    • Vous avez configuré l’une des options :
      • Compatible TPM startup permet de définir si la puce TPM est autorisé, requise ou non autorisé pour le chiffrement.
      • L’option Compatible TPM startup PIN permet d’ajouter l’usage (autorisé, requis ou non) d’un code PIN de démarrage avec la puce TPM. Cette action requiert l’action de l’utilisateur pour la configuration.
      • L’option Compatible TPM startup key permet d’ajouter l’usage (autorisé, requis ou non) d’un dongle de démarrage avec la puce TPM. Cette action requiert l’action de l’utilisateur pour la configuration.
      • L’option Compatible TPM startup key and PIN permet d’ajouter l’usage (autorisé, requis ou non) à la fois d’un dongle et d’un code PIN de démarrage avec la puce TPM. Cette action requiert l’action de l’utilisateur pour la configuration.

     

    Plus globalement le problème survient dès lors que vous avez activer le chiffrement BitLocker avec Microsoft Intune.

    Sur les machines concernées, vous pouvez ouvrir l’observateur d’événements et naviguez dans Applications and Services Log – Microsoft – Windows – BitLocker-API. Les erreurs ont lieu de manière récurrente enchainant des événements 846, 785, 778, et 851.

    Failed to enable Silent Encryption.
    Error: The specified domain either does not exist or could not be contacted.

    The BitLocker volume C: was reverted to an unprotected state.

     

    Nous constatons que la machine tente un chiffrement en boucle avec les événements 796, 775 845, 817, 840, 780.

    Dans le portail Microsoft Intune, vous pouvez constater l’apparition d’un grand nombre de clés de restauration pour la même machine :

     

    Après quelques minutes, nous décidons simplement de mettre à jour le BIOS de la machine qui semblait relativement ancien. Ceci a résolu le problème de chiffrement en boucle en réalisant l’opération avec succès.

  • [SCCM CB] Collecter les logs du client Configuration Manager à distance

    Arnab Mitra (PFE MSFT) a publié un billet assez intéressant pour donner une solution permettant de capturer/collecter les journaux/logs du client System Center Configuration Manager à distance. La solution détaillée est intéressante dans plusieurs scénarios :

    • L’utilisateur qui doit accéder aux journaux n’a pas les droits d’administration permettant d’accéder à la machine distante
    • Des contraintes de sécurité forte empêche l’accès à la machine (blocage des partages administratifs, segmentation réseau, etc.)
    • Le périphérique n’est pas sur le réseau

    La solution qu’il propose revient à utiliser :

    • La fonction Run Scripts pour exécuter un script PowerShell (version 3.0+)
    • System Center Configuration Manager 1706
    • Potentiellement Azure File Share pour stocker les journaux

    Plus d’informations sur son billet : Remotely capture ConfigMgr client logs for Troubleshooting

  • [SCCM] La Technical Preview 1910 de System Center Configuration Manager est disponible

    Microsoft vient de mettre à disposition la Technical Preview 1910 (5.0.8899.1000) de System Center Configuration Manager. Pour rappel, ConfigMgr a subi une refonte de sa structure pour permettre des mises à jour aisées de la même façon que l’on peut le voir avec Windows 10. Si vous souhaitez installer cette Technical Preview, vous devez installer la Technical Preview 1804 puis utiliser la fonctionnalité Updates and Servicing (nom de code Easy Setup).

     

    System Center Configuration Manager TP 1910 comprend les nouveautés suivantes :

    Administration

    • Vous pouvez nettoyer le verrou de n’importe quel objet bloqué par le mécanisme SEDO (Serialized Editing of Distributed Objects) dans la console d’administration. Ce scénario peut arriver fréquemment si une console qui éditait un objet (package, etc.) a crashé inopinément. Ainsi le verrouillage est gardé pour une durée de 30 minutes.
      Cette nouveauté ne s'applique qu'au compte utilisateur qui a créé le verrouillage, et sur le même périphérique à partir duquel le site a accordé le verrou. Lorsque vous tentez d'accéder à un objet verrouillé, vous pouvez maintenant Annuler les modifications et continuer à modifier l'objet. Ces changements seraient de toute façon perdus à l'expiration du verrou.
    • Vous pouvez attacher des fichiers de journalisation ou de diagnostic lorsque vous envoyez des commentaires à Microsoft via la console d’administration. Ces renseignements supplémentaires peuvent aider Microsoft à déterminer plus rapidement la cause du problème. Les fichiers inclus avec le feedback sont transmis et stockés à l'aide de Microsoft Error Reporting.
    • L’administrateur peut activer la journalisation verbeuse globale d’un client Configuration Manager directement depuis la console d’administration en cliquant droit sur le périphérique en question.

    • Amélioration du support de Windows Virtual Desktop pour permettre la récupération des stratégies utilisateurs dans des scénarios multisessions avec le paramètre : Enable user policy for multiple user sessions.

    • Amélioration de la recherche dans la console d’administration avec notamment :
      • La possibilité d’utiliser l’option Tous les sous dossiers (All Subfolders) à partir des nœuds Queries et Driver Packages.
      • Lorsqu’un résultat de recherche comprend plus de 1000 résultats, vous pouvez cliquer sur OK dans la barre d’information pour les afficher.

     

     Office 365

    • Microsoft propose un nouveau tableau de bord Office 365 ProPlus Pilot and Health Dashboard permettant aux administrateurs de créer des collections de pilote pour commencer le déploiement d’Office 365 ProPlus.

     

    Déploiement d’applications

    • Les groupes d’applications introduit dans Configuration Manager 1906 sont améliorés afin de permettre :
      • A l’utilisateur de désinstaller un groupe d’application dans le centre logiciels
      • A l’administrateur de déployer un groupe d’applications sur une collection d’utilisateurs.

     

    Gestion de la configuration et des paramétrages

    • Vous pouvez déployer Microsoft Edge (Chromium) en version 77 ou ultérieure. L’assistant vous permet de choisir entre le canal Bêta ou Dev. PowerShell est ensuite utilisé pour réaliser le déploiement.

    • Vous pouvez ajouter l’évaluation d’une baseline de configuration aux stratégies de conformité via les options Evaluate this baseline as part of compliance policy assessment sur la baseline et Include configured baselines in compliance policy assessment sur les règles de stratégies de conformité.

     

    Déploiement de système d’exploitation

    • Une nouvelle variable de séquence de tâches SetupCompletePause dédié au scénario de mise à niveau de Windows 10, permet d’assigner une valeur en seconde afin que le processus d'installation de Windows retarde ce laps de temps avant de démarrer la séquence de tâches. Ce délai d'attente donne au client Configuration Manager un délai supplémentaire pour l'initialisation. Ceci a été créé pour donner suite à des remontées de problème avec les périphériques très/trop rapides. La valeur spécifique du délai d'attente varie en fonction du matériel.

     

    Plus d’informations sur : https://docs.microsoft.com/en-us/sccm/core/get-started/2019/technical-preview-1910

  • [Azure AD] Gérer les opérations de résilience d’Azure AD Connect (haute disponibilité, etc.)

    Je vous partage un article de David Loder (PFE Microsoft) qui aborde les mécanismes de haute disponibilité et de résilience pour Azure AD Connect.  Son article très constructif aborde notamment les points suivants :

    • L’état de synchronisation via l’agent Health
    • L’utilisation d’un Staging Server pour éventuellement basculer en cas de problème
    • La gestion des mises à niveau.

    Je vous laisse lire son billet : Azure Active Directory Connect Resilient Operations

  • [Office 365] Preview du support de Delivery Optimization par Office 365 ProPlus

    C’est un besoin identifié depuis quelques mois par Microsoft, Office 365 ProPlus supporte maintenant (en Preview) la technologie d’échange P2P moderne Delivery Optimization de Windows 10. Ce support couvre les scénarios suivants :

    • Installation du client Office 365 ProPlus
    • Mise à jour du client Office 365 ProPlus

    Ceci permet grandement d’améliorer les scénarios de gestion moderne avec Microsoft Intune et ainsi réduire l’usage de la bande passante. La fonctionnalité ne sera pas utilisée si vous utilisez System Center Configuration Manager ou les partages réseaux.

    Afin d’utiliser Delivery Optimization avec Office 365 ProPlus, vous devez remplir les prérequis suivants :

    • Utiliser Windows 10 1709
    • Utiliser Office 365 ProPlus 1808 pour le support des mises à jour
    • Utiliser Office 365 ProPlus 1908 pour le support de l’installation du client ou pour les mises à jour initiée par l’utilisateur.
    • Vous devez configurer pour installer et recevoir les mises à jour directement depuis l’Office Content Delivery Network (CDN)
    • Vous devez aussi configurer Office pour fonctionner avec Delivery Optimization en configurant la clé de registre suivante :
      • Clé : HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\office\16.0\common\officeupdate
      • Nom de la valeur: SetDOAsPrimary
      • Valeur : 1 (DWORD)

    Note : la clé doit être créé avant l’installation du client si vous souhaitez bénéficier de Delivery Optimization. Cette clé n’est nécessaire que pendant la phase de Preview. Vous pouvez suivre les indications de Michael Niehaus pour créer la clé via Microsoft Intune : Use Intune to enable Delivery Optimization for Office 365 installs

    Plus d’information sur : Delivery Optimization and Office 365 ProPlus

  • [SCM] Mise à jour (Septembre 2019) des baselines pour Windows 10 1903

    Microsoft vient de mettre à jour (Septembre 2019) les baselines de paramétrages de sécurité pour Windows 10 1903 (19H1) et Windows Server 1903. On y retrouve les nouveaux paramétrages de cette nouvelle Build. Ces dernières s’utilisent avec Security Compliance Toolkit (SCT). Les lignes de base permettent de vérifier la conformité d’une application vis-à-vis des bonnes pratiques et recommandations Microsoft.

    Voici les différences avec la version finale de la baseline pour Windows 10 1903 :

    • Microsoft a supprimé le paramètre de configuration de l'ordinateur, "Enable svchost.exe mitigation options" (dans System\Service Control Manager Settings\Security Settings) en raison des rapports selon lesquels son implantation actuelle cause plus de problèmes de compatibilité que prévu.
    • Microsoft a aussi ajusté quelques paramètres d'audit dans la ligne de base du contrôleur de domaine afin de les aligner plus étroitement sur les recommandations du document de référence sur l'audit de sécurité et la surveillance de Windows 10 et Windows Server 2016

    Audit category

    Audit subcategory

    Ancienne valeur

    Nouvelle valeur

    Audit Policy\Account Logon

    Credential Validation

    Success and Failure

    Failure

    Audit Policy\Account Logon

    Kerberos Service Ticket Operations

     

    Failure

    Audit Policy\DS Access

    Directory Service Access

    Success and Failure

    Failure

    Audit Policy\DS Access

    Directory Service Changes

    Success and Failure

    Success

     

    • Microsoft a aussi ajotué un script Baseline-ADImport.ps1 pour importer toutes les GPOs dans les stratégies de groupe Active Directory.

     

    Pour rappel, voici les changements qui avaient été introduit précédemment.

    Plus d’informations sur l’article suivant : https://techcommunity.microsoft.com/t5/Microsoft-Security-Baselines/Security-baseline-Sept2019Update-for-Windows-10-v1903-and/ba-p/890940

        

    Télécharger Microsoft Security Compliance Toolkit 1.0

  • [Autopilot] Publication d’un script pour interpréter un profil Windows Autopilot

    Michael Niehaus (MSFT) a publié un script permettant d’interpréter facilement le contenu d’un fichier JSON correspondant à un profil Windows Autopilot. Le script extrait les éléments suivants :

    • Nom du profil
    • Type de profil
    • Tenant Azure AD (Nom, Identifiant)
    • Identifiant Azure AD du périphérique
    • Identifiant Autopilot du périphérique
    • Identifiant MDM
    • La configuration des différentes phases (Skip Keyboard, Skip EULA, etc.)
    • La langue
    • La région
    • Le modèle de nom de périphérique

     

    Télécharger Convert-WindowsAutopilotProfile

    Source : https://oofhours.com/2019/10/13/interpreting-the-windows-autopilot-profile/

  • [Intune] Les nouveautés de mi-octobre 2019

    Microsoft vient d’annoncer la mise à disposition d’un nouvel ensemble de fonctionnalités pour Microsoft Intune.

    Les fonctionnalités suivantes sont ajoutées :

    Enregistrement des périphériques

    • [Android Enterprise] La version du système d’exploitation peut être utilisée pour restreindre l’enregistrement des périphériques en fonction de la méthode d’enregistrement Android Enterprise (Work Profile, Device Owner, etc.).

    • [Windows 10] Un nouveau affiche tous les périphériques déployés avec Windows Autopilot.

     

    Gestion du périphérique

    • [Windows 10] Vous pouvez éditer le nom du périphérique pour les périphériques joints à Azure Active Directory.
    • [Windows 10] Vous pouvez éditer la valeur Group Tag pour les périphériques Autopilot.
    • [Windows 10] Nouvelles restrictions pour renommer les périphériques Windows devant répondre aux exigences :
      • 15 caractères ou moins (doit être inférieur ou égal à 63 octets, sans compter NULL)
      • Ne doit pas être nul ou une chaîne vide
      • ASCII autorisé : lettres (a-z, A-Z), chiffres (0-9) et tirets.
      • Unicode autorisé : caractères >= 0x80, doit être valide UTF8, doit être mappable IDN (RtlIdnToNameprepUnicode réussi ; voir RFC 3492)
      • Les noms ne doivent pas contenir uniquement des chiffres
      • Aucun espace dans le nom
      • Caractères interdits : { | } ~ [ \ ] ^ ' : ; < = > ? & @ ! " # $ % ` ( ) + / , . _ *)
    • [Android] Un nouveau rapport sur la page d’aperçu de périphérique permet d’afficher combien de périphériques Android ont été enregistrés avec telle ou telle solution de gestion Android.

     

    Configuration du périphérique

    • [Général] Arrivée des ensembles de stratégies (Policy Sets) permettant de rassembler un ensemble de stratégies (applications, configuration, etc.) qui sont déployés ensembles sous la forme d’un bundle. Vous pouvez toujours créer des stratégies individuelles mais cette fonctionnalité permet de créer des configurations basées sur des profils ou des usages. Parmi les éléments configurables, on retrouve :
      • Sur la gestion des applications : Les applications, les stratégies de configuration d’applications, les stratégies de protection d’application
      • Sur la gestion du périphérique : Les profils de configuration de périphériques, les stratégies de conformité de périphérique
      • Sur l’enregistrement de périphérique : Les restrictions de type de périphérique, les profils de déploiement Windows Autopilot, les stratégies d’Enrollment Status Page

    • [Windows 10] Mise à jour de l’interface graphique de création/édition des anneaux de déploiement (Update Rings) de Windows 10. Ces interfaces sont maintenant déclinées sous la forme d’assistant.

    • [Windows 10] J’en avais déjà parlé, Microsoft retire le paramétrage Engaged Restart de l’interface pour le remplacer par le paramétrage date butoir (deadlines)
    • [iOS] Mise à jour de l’interface graphique de création/édition des stratégies de mise à jour logicielles pour iOS. Ces interfaces sont maintenant déclinées sous la forme d’assistant.
    • [iOS/iPadOS] Nouveau paramétrage de configuration pour restreindre les fonctionnalités et paramétrages dans iOS 13+ et iPadOS 13+  afin de contrôler :
      • L’accès aux partage réseau dans l’application Fichiers
      • L’accès aux périphériques USB dans l’application Fichiers
      • L’activation forcée du Wi-Fi

    • [Android/Android Enterprise] Retrait du paramétrage de connexion automatique du WiFi des profils WiFi pour Android Legacy (Device Admin) et Android Enterprise. Ce paramétrage n’est pas supporté par Android et n’a jamais fonctionné.
    • [Android Enterprise] Le paramétrage Prevent app installations from unknown sources in the personal profile permet d’empêcher l’installation d’applications à partir de sources inconnues sur les périphériques Android Enterprise Work Profile.

    • [Android Enterprise] Vous pouvez créer des paramétrages proxy HTTP globaux pour les périphériques Android Enterprise Device Owner (COBO) redirigeant tout le trafic http vers le proxy spécifié. Vous pouvez le créer en naviguant dans Device configuration > Profiles > Create profile > Android Enterprise comme plateforme > Device owner > Device restrictions pour type de profile > Connectivity

     

    Gestion des applications

    • [Android/iOS] La variable AAD Device ID est disponible pour créer des stratégies de configuration d’applications.
    • [Android Enterprise] Il est maintenant possible de voir l’état d’installation et la version des applications Google Play Gérée déployées en libre-service sur les périphériques Android Enterprise Work Profile, Dedicated et Fully Managed.
    • [Windows 10/macOS] Public Preview de la capacité de déployer Microsoft Edge (Chromium) en version 77+ sur Windows 10 (canaux Dev et Beta) et macOS (canal Beta). Le déploiement n’est disponible que pour la version anglaise uniquement néanmoins, l’utilisateur peut changer la langue dans les paramétrages du navigateur. L’installation se fait en activant les mises à jour automatique et en empêchant de désinstaller le navigateur.

    • [iOS] Mise à jour des interfaces graphiques de création/édition des stratégies de protection applicatives et pour les profils de provisionnement d’applications iOS. Ces interfaces sont maintenant déclinées sous la forme d’assistant.

     

    Sécurité du périphérique

    • [macOS] Vous pouvez déployer et utiliser des certificats PKCS sur les utilisateurs et les périphériques macOS qui ont des champs nom sujet et nom de sujet alternatif personnalisés. Le certificat PCKS pour macOS prend en charge le nouveau paramètre Allow All Apps Access afin d’activer l'accès de toutes les applications associées à la clé privée du certificat.

    • [iOS] Intune supporte l’utilisation d’identifiants dérivés (Derived Credentials) comme méthode d’authentification et solution de chiffrement S/MIME pour les périphériques iOS. Derived Credentials sont une implémentation du standard NIST pour authentifier les utilisateurs comme avec des SmartCards et déployer un certificat d'authentification. Les Derived Credentials peuvent être utilisés pour s’authentifier aux VPNs, WiFi, et Email. Microsoft Intune supporte les fournisseurs suivants : DISA Purebred, Entrust Datacard, Intercede. Comme les périphériques mobiles n'ont pas de lecteur SmartCard, les utilisateurs s'authentifient à l'aide du lecteur de carte à puce d'un appareil fiable qui relie l'authentification à leur appareil mobile.  Un certificat numérique est alors délivré à l'appareil mobile. Afin de faciliter l'expérience utilisateur pour les utilisateurs finaux, le flux d'inscription des justificatifs d'identité dérivés est intégré dans l'application Intune Company Portal, qui est l'application utilisée pour l'inscription du périphérique avec Intune.


      Traduit avec www.DeepL.com/Translator

    Autre

    • [Général] Vous pouvez utiliser Graph API pour spécifier onPremisesUserPrincipalName comme variable SAN pour les certificats SCEP.

     

    Plus d’informations sur : https://docs.microsoft.com/en-us/intune/whats-new

  • Disponibilité Générale de Desktop Analytics (et fin de support de Windows Analytics)

    Microsoft vient d’annoncer la Disponibilité Générale de son service Cloud : Desktop Analytics. Desktop Analytics est le remplaçant de Windows Analytics (voir la suite du billet). Ce service va devenir la pierre angulaire du poste de travail moderne afin d’offrir de nombreux outils d’analyse :

    • Inventaire des applications de l’entreprise.
    • Evaluation de la compatibilité des machines (matériels, logiciels, drivers, etc.) avec les dernières versions de Windows
    • Rationalisation des applications, de la priorité et de la compatibilité associée en fonction de la télémétrie.
    • Suivi des mises à niveau de fonctionnalités (Builds Windows 10 et Office 365)
    • Suivi des mises à jour de Windows 10 et Office 365
    • Suivi de la fiabilité (Crash, problèmes de compatibilités, etc.)
    • Suivi des performances (temps de démarrage, temps d’application des GPOs, etc.)
    • Automatisation de certaines tâches et de la création de vagues de déploiement (Pilote, etc.)

    Ce service est proposé aux clients qui ont souscrit à :

    • Windows 10 Enterprise E3 ou E5 (inclus dans Microsoft 365 F1, E3, ou E5)
    • Windows 10 Education A3 ou A5 (inclus dans Microsoft 365 A3 ou A5)
    • Windows Virtual Desktop Access E3 ou E5.

    Pour l’instant, l’intégration ne se fait qu’avec System Center Configuration Manager (1902 ou ultérieure) mais Microsoft planifie l’intégration avec Microsoft Intune dans les prochains mois.

    Quand est-il de Windows Analytics ?

    Windows Analytics comprend Upgrade Readiness, Update Compliance et Device Health.
    Microsoft planifie le retrait de Windows Analytics pour le 31 janvier 2020 :

    • Il ne sera plus possible de créer de nouveaux tenant avec les solutions Upgrade Readiness et Device Health.
    • La solution Update Compliance restera disponible dans le portail Azure.

    Une option pour migrer les données de Windows Analytics Upgrade Readiness (Device Health n’est pas concerné) vers Desktop Analytics est disponible. Elle permet de reprendre les données d’importance, et de propriétaire de l’application.

    Tester Desktop Analytics

  • Nouvelle version 1.2019.926.0 de l’outil de packaging MSIX

    Microsoft vient de finaliser la version 1.2019.926.0 de son outil de packaging (MSIX Packing Tool). Cet outil permet de prendre un package d’application Win32 existant et de la convertir au format MSIX. Vous utilisez pour cela une machine de référence pour exécuter l’outil et obtenir le package MSIX que vous pouvez ensuite déployer à la main, par votre outil de télédistribution ou depuis le Microsoft Store.

    Pour rappel, le format MSIX est un nouveau format standardisé lancé par Microsoft pour remplacer l’ensemble des formats de packaging existants tout en bénéficiant des avancés des différentes solutions : Click-To-Run (C2R), App-V, APPX et plus généralement du Framework d’applications universelles (UWP). Il offre donc des mécanismes de conteneurisation et les bénéfices des applications universelles avec une installation, mise à jour et désinstallation aisée sans laisser aucune trace sur le système. Il fournit aussi des mécanismes de sécurisation avancés permettant de valider l’intégrité du code exécuté. Ce format permet aussi de créer des personnalisations pour les applications packagées et de les faire perdurer au travers des différentes mises à jour de l’application.

    Cette version apporte les éléments suivants :

    • Elle permet aux entreprises d’utiliser le service de signature Device Guard pour signer leurs packages avec leur tenant Azure AD.
    • Microsoft a mis à jour le workflow de packaging
    • Ajout de l’option d’édition au niveau du clique droit pour lancer l’éditeur de package.

    Pour accéder à l’outil, vous devez :

    • Participer au programme Windows Insider Fast ou Slow Ring
    • Avoir Windows 10 17701 ou plus
    • Avoir les droits d’administrateur sur la machine
    • Avoir un compte Microsoft pour accéder au Microsoft Store.

    Plus d'éléments sur le format MSIX sur MSIX Intro

    Télécharger MSIX Packing Tool