• [SCOM 2012/2016] Mise à jour (1.8.0.1) du Management Pack pour Microsoft Azure

    Microsoft vient de publier une nouvelle version du pack d’administration ou Management Pack (MP) (1.8.0.1) pour Microsoft Azure. Ce Management Pack vient remplacer les précédents pour Windows Azure. Pour rappel, System Center Operations Manager (SCOM) fait partie de la gamme System Center, il propose une supervision souple et évolutive de l’exploitation au niveau de toute l’entreprise, réduisant la complexité liée à l’administration d’un environnement informatique, et diminuant ainsi le coût d’exploitation. Ce logiciel permet une gestion complète des événements, des contrôles proactifs et des alertes, et assure une gestion des services de bout en bout. Il établit des analyses de tendance et des rapports, et contient une base de connaissances sur les applications et le système.

    Ce management pack fournit les fonctionnalités suivantes :

    • Découverte des services : Application Insights, Automation, Backup, Biztalk, Cloud Service, Data Factory, DocumentDB, Logic App, Media Services, Mobile Services, Networks, Notification Hubs, Operational Insights, Redis Cache, SCheduler, Search, Service Bus, SQL Azure, Storage Accounts, Traffic Manager, Virtual Machines, et Websites
    • Collecte de performance pour : Cloud Services, Data Factory, DocumentDB, Mobile Services, Redis Cache, SQL Azure, Virtual Machines, Websites

    Cette version comprend :

    • Filtrage des ressources groupe pour un abonnement/Subscription.
    • Modification de la description d’alerte pour tous les types d’alerte.
    • Support des alertes métriques multi-ressources
    • Correction d'un problème d'état de santé à synchroniser avec le portail Azure
    • Correction d'un problème d'état'inconnu' pour les alertes métriques

     

    Note : La mise à jour est supportée à partir de v1.6.0.7 et v1.7.0.0. Les modèles/templates existants seront pris en charge.

    Notez que ce pack d’administration nécessite System Center 2012 Service Pack 1 (SP1) – Operations Manager, System Center 2012 R2 Operations Manager, System Center 2016 Operations Manager ou System Center 2019 Operations Manager

    Télécharger Microsoft System Center Operations Manager Management Pack for Microsoft Azure

  • [MD ATP] Une série de vidéos sur Microsoft Defender Advanced Threat Protection

    Microsoft vient de publier une série de vidéos pour décrire les concepts et vous former sur Microsoft Defender Advanced Threat Protection (ATP). Pour rappel, Microsoft Defender Advanced Threat Protection est un service initialement inclus dans Windows 10 proposant une solution d’analyse, d’investigation et de réponse (forensic) permettant d’améliorer la détection et l’alerting. Il offre des actions de réponse et une vision courante des attaques possibles. Il permet de répondre à des attaques comme celles de ransomwares, malwares, etc. Il inclut aussi un module de gestion des menaces et des vulnérabilités.

    Parmi les sujets abordés par les vidéos, on retrouve :

     

    Source : Blog MDATP

  • [Intune] Les stratégies de protection applicatives (MAM/APP) permettent à nouveau de bloquer les claviers tiers

    En février dernier, Microsoft annonçait que le paramètre gérant les claviers tiers sur iOS pour les stratégies de protection applicatives (MAM/APP) de Microsoft Intune ne fonctionnait pas si l’application était lancée avec un compte personnel ou si l’utilisateur basculait sur son compte personnel.

    Microsoft a travaillé avec Apple afin de débloquer la situation et resupporter le paramétrage sur iOS et iPadOS.

    Le comportement mis en œuvre, diffère légèrement de la précédente implémentation. Dans les applications multi-identités utilisant le SDK version 12.0.16 et supérieure, ciblées par les stratégies de protection applicatives avec ce paramètre configuré sur Bloquer, les utilisateurs finaux ne pourront pas opter pour des claviers tiers dans leurs comptes d’entreprise et personnels.

    Pour résumer :

    • Microsoft annonce que le correctif doit être déployé en production d’ici quelques semaines.
    • Vous pouvez mettre à jour les stratégies précédentes que vous aviez pour ce paramétrage.
    • Ensuite les applications qui utilisent ce paramétrages (Outlook, Word, etc.) doivent être mis à jour avec le nouveau SDK qui comprend ce contrôle. Ceci peut prendre un délai supplémentaire.

    Plus d’informations sur : Updated - Known issue: Third party keyboards are not blocked in iOS for personal accounts

  • [Intune] Résolution du problème avec les chartes et conditions d’usages d'applications VPP et iOS 12.2+

    J’en parlé il y a quelques semaines, Microsoft signalait un problème qui concerne iOS 12.2 ou ultérieur avec les chartes et conditions sur Microsoft Intune. Le problème faisait suite à ces mises à jour d’iOS et concernait tous les fabricants MDM. Les périphériques gérés par MDM utilisant des applications VPP sous licence utilisateur, les utilisateurs ne pourront pas accepter ou annuler les chartes et conditions lors de leur premier accès à une application VPP. Ainsi, les installations d'applications qui nécessitent des chartes et conditions peuvent échouer, car elles n'obtiennent pas une réponse d'acceptation ou d'annulation de la part de l'utilisateur sur l'appareil.

    Aujourd’hui, Microsoft signale que le problème a été corrigé !

    Source : https://techcommunity.microsoft.com/t5/Intune-Customer-Success/Resolved-Known-Issue-iOS-12-2-Terms-and-Conditions/ba-p/668980

  • [Intune] Problème connu avec les profils SCEP sur Android Enterprise Fully Managed (COBO)

    L’équipe du support Microsoft vient de publier un billet concernant un problème touchant Microsoft Intune et le déploiement de profils SCEP pour le déploiement de certificats sur les périphériques Android Enterprise Fully Managed.

    Le problème survient avec la valeur Common Name du profil et la façon donc le backend de Microsoft Intune l’interprète. Ceci résulte par un échec de déploiement du profil.

    Microsoft prépare un correctif pour le service. Il faudra alors supprimer les profils existants et les recréer avec la même configuration après que le correctif ait été déployé. Cela permettra de s’assurer que les certificats que vous avez émis émettent des noms de sujet de certificat conformes aux profils SCEP que vous pouvez avoir pour d'autres plates-formes.  Une fois que vous avez créé et déployé le profil SCEP mis à jour, tous les périphériques visés par la stratégie recevront un nouveau certificat avec le nom commun correct et l'ancien certificat sera supprimé.

    Si vous ne recréez pas le certificat, le profil obtiendra la valeur correcte du nom commun lors du prochain renouvellement du certificat SCEP.

    Microsoft va communiquer prochainement sur le déploiement du correctif.

    Plus d’informations sur : Known Issue with SCEP profiles for Android Enterprise fully managed devices in Intune

  • [SCCM] Nouvelle mise à jour (6.0.394.0) pour System Center Updates Publisher

    Microsoft a publié une nouvelle version (6.0.394.0) de son outil System Center Updates Publisher. Ce dernier permet d’intégrer des catalogues de mises à jour tierces voir de créer vos propres catalogues et mises à jour.

    Cette version apporte les éléments suivants :

    • Un nouveau nœud Categories Workspace permettant de gérer et organiser les mises à jour.
    • Un nouveau bouton Detectoid est ajouté à l’Updates Workspace quand le mode Authoring est activé.  Cette fonction est utile lorsque vous avez plusieurs mises à jour qui utilisent la même règle (ou un ensemble de règles) pour déterminer l'applicabilité.
    • Plusieurs améliorations d'accessibilité ont été intégrées.

    Cette version est compatible :

    • Windows 10, Windows 8.1, Windows Server 2012 R2, Windows Server 2016, Windows Server 2019
    • System Center 2012 Configuration Manager Service Pack 2
    • System Center 2012 R2 Configuration Manager Service Pack 1
    • Une version supportée de System Center Configuration Manager current branch, System Center Configuration Manager long-term servicing branch version 1606

     

    Télécharger System Center Updates Publisher

  • [Desktop Analytics] Action Requise : Nouveau point de terminaison (URL) à autoriser

    Microsoft vient de communiquer qu’un changement va être opéré sur le service Desktop Analytics afin d’améliorer l’expérience. Ce changement est attendu pour décembre et comprendra l’utilisation d’un nouveau point de terminaison (URL) pour faire communiquer System Center Center Configuration Manager et Desktop Analytics.

    Si vous avez du filtrage en place (parefeu, proxy, etc.), vous devez donc autoriser l’URL : https://*.manage.microsoft.com

    Cette URL sera utilisée pour synchroniser l’appartenance aux collections de périphériques, les plans de déploiement et l’état d’évaluation des périphériques avec Desktop Analytics. Si l’URL n’est pas accessible alors vous commencerez à voir des informations périmées dans le portail Desktop Analytics et dans System Center Configuration Manager.

    Plus d’informations sur : Desktop Analytics Endpoints

  • [SCCM/MEMCM 1910] Microsoft Endpoint Manager Configuration Manager 1910 est disponible

    Microsoft vient de mettre à disposition en Early Wave, la version finale (5.00.8913.1000) de Microsoft EndPoint Manager Configuration Manager 1910. Pour rappel, Microsoft a annoncé le renommage de System Center Configuration Manager pour faire partie d’une même suite avec Microsoft Intune, Desktop Analytics, Autopilot, etc. sous le nom Microsoft Endpoint Manager. L’outil ne fait donc plus parti de la gamme System Center. Si vous utilisez System Center 2012 Configuration Manager, vous devez mettre à jour votre site vers System Center Configuration Manager 1806 avant de pouvoir passer à cette version. Pour les versions antérieures, la version minimale est aussi System Center Configuration Manager 1806.

    Pour rappel, Microsoft signe maintenant ses binaires avec un certificat de signature de code SHA-2. De ce faire, vous devez appliquer des mises à jour sur les systèmes suivants :

    • Windows 7 SP1
    • Windows Server 2008 R2 SP1
    • Windows Server 2008 SP2

     

    Microsoft Endpoint Manager Configuration Manager 1910 comprend les nouveautés suivantes :

    Annonce

    • Configuration Manager ne fait plus partie de la gamme System Center et Microsoft créé un ensemble de solutions appelés Microsoft Endpoint Manager comprenant : Configuration Manager, Microsoft Intune, Desktop Analytics, Windows Autopilot, etc.
      Ceci signifie que les raccourcis de la console d’administration ainsi que de Remote Control Viewer sont maintenant localisés sous le dossier Microsoft Endpoint. Le raccourci du Software Center/Centre Logiciels sur les clients est localisé dans Microsoft Endpoint Manager.

     

    Administration

    • Vous pouvez nettoyer le verrou de n’importe quel objet bloqué par le mécanisme SEDO (Serialized Editing of Distributed Objects) dans la console d’administration. Ce scénario peut arriver fréquemment si une console qui éditait un objet (package, etc.) a crashé inopinément. Ainsi le verrouillage est gardé pour une durée de 30 minutes.
      Cette nouveauté ne s'applique qu'au compte utilisateur qui a créé le verrouillage, et sur le même périphérique à partir duquel le site a accordé le verrou. Lorsque vous tentez d'accéder à un objet verrouillé, vous pouvez maintenant Annuler les modifications et continuer à modifier l'objet. Ces changements seraient de toute façon perdus à l'expiration du verrou.
    • Un outil (ExtendMigrateToAzure.exe) vous permet d’étendre et migrer vos serveurs Configuration Manager vers Microsoft Azure. L’outil vous permet de :
      • Vérifier les prérequis permettant de mettre en place la haute disponibilité du serveur de site afin de créer une instance passive dans Azure.
      • Lister les éléments nécessaires pour basculer le serveur de base de données dans Azure
      • Provisionner les rôles de système de site de l’infrastructure dans Azure
      • D’obtenir un script PowerShell de déploiement dans Azure.

    • Amélioration du support de Windows Virtual Desktop pour permettre la récupération des stratégies utilisateurs dans des scénarios multisessions avec le paramètre : Enable user policy for multiple user sessions.

     

    Co-Management

    • Vous pouvez ajouter l’évaluation d’une baseline de configuration aux stratégies de conformité via les options Evaluate this baseline as part of compliance policy assessment sur la baseline et Include configured baselines in compliance policy assessment sur les règles de stratégies de conformité.

     

    Inventaire

    • Optimisation du moteur CMPivot pour pousser plus de traitement au client ConfigMgr. Ces optimisations réduisent considérablement la charge réseau et CPU du serveur qui exécute les requêtes CMPivot
    • Amélioration de CMPivot pour inclure les entités suivantes : Les journaux d’évenements Windows, Le contenu de fichier, les DLLs chargés par des processus, les informations Azure Active Directory, l’état Endpoint Protection.
    • Lorsque vous utilisez CMPivot en dehors de la console Configuration Manager, vous pouvez interroger uniquement le périphérique local sans avoir besoin de l'infrastructure Configuration Manager. Vous pouvez maintenant utiliser les requêtes CMPivot Azure Log Analytics pour visualiser rapidement les informations WMI sur le périphérique local. Cela permet également de valider et d'affiner les requêtes CMPivot, avant de les exécuter dans un environnement plus large.
    • Amélioration de CMPivot avec la mis à jour des entités CcmLog() et EventLog() pour ne regarder que les messages des dernières 24 heures par défaut. Ce comportement peut être changé en passant dans un intervalle de temps optionnel. Par exemple, CcmLog('Scripts',1h) examinera les événements de la dernière heure.
    • Amélioration de CMPivot et de l'entité File() pour collecter des informations sur les fichiers cachés et les fichiers système, et inclure le hachage MD5.
    • Amélioration de CMPivot pour permettre l’ajout de commentaires dans les requêtes avec //
    • CMPivot se connecte automatiquement au dernier site. Après avoir démarré CMPivot, vous pouvez vous connecter à un nouveau site si nécessaire.
    • Amélioration de CMPivot et du menu Exporter avec la nouvelle option Query link to clipboard. Cette action copie un lien vers le presse-papiers que vous pouvez partager avec d'autres personnes.
    • Amélioration de CMPivot pour permettre le lancement du portail en ligne Microsoft Defender Security Center dans les résultats de la requête si l'appareil est enregistré dans Microsoft Defender Advanced Threat Protection (ATP).

     

    Gestion du contenu

    • Support de Microsoft Connected Cache (anciennement DOINC) pour les applications Windows 32 déployées via Microsoft Intune sur les périphériques cogérés. L’application doit faire à minima 100 MB pour bénéficier de cette fonctionnalité. Vous devez avoir créé l’application dans Microsoft Intune après novembre 2018 pour que cela fonctionne..

     

    Gestion des Applications

    • Vous pouvez déployer Microsoft Edge (Chromium) en version 77 ou ultérieure. L’assistant vous permet de choisir entre le canal Bêta ou Dev. PowerShell est ensuite utilisé pour réaliser le déploiement.

    • Les groupes d’applications introduit dans Configuration Manager 1906 sont améliorés afin de permettre :
      • A l’utilisateur de désinstaller un groupe d’application dans le centre logiciels
      • A l’administrateur de déployer un groupe d’applications sur une collection d’utilisateurs

     

    Mises à jour logicielles

    • Selon des retours sur UserVoice, Microsoft a inclus un filtre supplémentaire aux règles de déploiement automatique (ADR) pour exclure les mises à jour déjà déployées.  Ce filtre aide à identifier les nouvelles mises à jour qui pourraient devoir être déployées dans vos collections pilote. Le filtre de mise à jour du logiciel peut également aider à éviter de redéployer les anciennes mises à jour. Lorsque vous utilisez Deployed comme filtre, n'oubliez pas que vous avez peut-être déjà déployé la mise à jour dans une autre collection, comme une collection pilote.

    • Auparavant, Delivery Optimization ne pouvait être utilisée que pour les mises à jour express. Vous pouvez maintenant utiliser Delivery Optimization pour la distribution de tout le contenu Windows Update pour les clients exécutant Windows 10 version 1709 ou ultérieure. Vous devez configurer les paramètres suivants dans la partie Client Settings :
      • Allow clients to download delta content when available à Yes
      • Port that clients use to receive requests for delta content à 8005 (par défaut) ou un port personnalisé
    • De la même manière qu'il est possible de créer des modèles de déploiement, il est maintenant possible de créer et d'utiliser des modèles de déploiement par phases (Phased Deployment) pour les mises à jour logicielles. Les modèles font gagner du temps lors de la configuration d'autres déploiements par phases avec des paramètres similaires.

    • Vous pouvez maintenant maintenir et mettre à jour les périphériques exécutant des Builds Windows Insider avec Configuration Manager.
    • Pour la gestion des mises à jour tierces :
      • Vous pouvez sélectionner des catégories spécifiques d’un catalogue afin d’éviter de synchroniser l’ensemble du catalogue
      • Vous pouvez régler la planification de synchronisation par catalogue pour surcharger celle configurée par défaut.

     

    Déploiement de systèmes d’exploitation

    • Le moteur de séquence de tâches peut télécharger des packages à la demande à partir d'une CMG ou d'un Cloud Distribution Point. Ce changement offre une flexibilité supplémentaire avec les déploiements de mise à niveau de Windows 10 vers des périphériques sur Internet.
    • L’éditeur de séquence de tâches comprend une fonction de recherche qui permet de rechercher sur des éléments spécifiques parmi : le nom de la tâche, la description de la tâche, le type de tâche, le groupe, le nom de variable, les conditions et d’autres contenus. Les raccourcis claviers usuels sont utilisables :
      • CTRL + F : entrez une chaîne de recherche
      • CTRL + O : sélectionnez les options de recherche pour l'étendue des résultats
      • F3 ou Entrer : Aller aux résultats suivants
      • SHIFT + F3 : reculer dans les résultats.

    • Il est maintenant possible de copier/coller des conditions de séquence de tâches afin de réutiliser la même condition sur une autre étape de la séquence de tâches. Si une condition a des conditions enfants, l’action de copie, copie le bloc entier. S'il y a une condition dans le presse-papiers, vous pouvez la coller avec les options suivantes :
      • Coller avant
      • Coller après
      • Coller sous (ne s'applique qu'aux conditions imbriquées)

    Note : La copie n’est pas supportée entre différentes séquences de tâches !

    • Selon des retours sur UserVoice, il est maintenant possible d’exécuter la séquence de tâches dans un mode de gestion d’énergie Haute Performance. Ceci permet d’accélérer l’exécution de la séquence de tâches et les performances. Ainsi, la séquence de tâches enregistre le plan d’énergie au début de la séquence de tâches puis change le plan dans le mode Haute Performance de Windows. A la fin de la séquence de tâches, le plan d’énergie est remis selon la valeur présente au début de la séquence de tâches.
      Note : Vous devez installer la dernière version du client et mettre à jour les images de démarrage avec les derniers binaires du client pour bénéficier de cette fonctionnalité.

    • Lors de l'import d'un package de mise à niveau d'OS, vous pouvez Extraire un index d'image spécifique du fichier install.wim du package de mise à niveau sélectionné. Ce comportement est similaire à celui des images du système d'exploitation, sauf qu'il écrase le fichier install.wim existant dans le package de mise à niveau du système d'exploitation. Il extrait l'index de l'image vers un emplacement temporaire, puis le déplace dans le répertoire source original. Avant d'importer un package de mise à niveau du système d'exploitation et d'activer cette option, assurez-vous de sauvegarder les fichiers sources originaux. Configuration Manager écrase le fichier install.wim dans les sources pour utiliser l'index de l'image extraite.

    • Basé sur des feedbacks UserVoice, il est maintenant possible de configurer la langue par défaut du clavier pour une image de démarrage. Dans l'onglet Customization d'une image de démarrage, utilisez la nouvelle option pour Set default keyboard layout in WinPE. Dans la console, si vous sélectionnez une autre langue qu’en-us, Configuration Manager inclut toujours en-us dans les locales d'entrée disponibles. Sur l'appareil, la disposition initiale du clavier est la locale sélectionnée, mais l'utilisateur peut changer sur en-us si nécessaire.

    • Basé sur des feedbacks UserVoice, il est maintenant possible de configurer la langue par défaut du clavier, la localisation du système, la langue de l’interface utilisateur, le remplacement de la langue utilisateur et la localisation de l’utilisateur via la tâche Apply Windows Settings et le paramètre Set default keyboard layout in Windows.
    • Basé sur des feedbacks UserVoice, l'étape Run Command Line inclut maintenant une option pour mettre le résultat de sortie dans variable de séquence de tâche. Configuration Manager limite le résultat aux 1000 derniers caractères. Cette modification s'applique à la fois à Run Command Line et Run Powershell Script.
    • Amélioration du Task Sequence Debugger :
      • Une nouvelle variable de séquence de tâches TSDebugOnError permet de démarrer automatiquement le Debugger lorsque la séquence de tâches renvoie une erreur.
      • Si vous créez un point d'arrêt dans le Debugger, puis que la séquence de tâches redémarre l'ordinateur, le Debugger conserve les points d'arrêt après redémarrage.
    • Une nouvelle variable de séquence de tâches SetupCompletePause dédié au scénario de mise à niveau de Windows 10, permet d’assigner une valeur en seconde afin que le processus d'installation de Windows retarde ce laps de temps avant de démarrer la séquence de tâches. Ce délai d'attente donne au client Configuration Manager un délai supplémentaire pour l'initialisation. Ceci a été créé pour donner suite à des remontées de problème avec les périphériques très/trop rapides. La valeur spécifique du délai d'attente varie en fonction du matériel.
    • Basé sur des feedbacks UserVoice, utilisez les cmdlets PowerShell suivants pour automatiser la gestion des doublons d’identifiants matériels :
      • New-CMDuplicateHardwareIdGuid
      • Remove-CMDuplicateHardwareIdGuid
      • New-CMDuplicateHardwareIdMacAddress
      • Remove-CMDuplicateHardwareIdMacAddress

     

    Gestion d’Office

    • Microsoft propose un nouveau tableau de bord Office 365 ProPlus Pilot and Health Dashboard permettant aux administrateurs de créer des collections de pilote pour commencer le déploiement d’Office 365 ProPlus :

     

    Gestion des paramétrages et de la conformité

    • Configuration Manager intègre maintenant les fonctions précédemment portées par Microsoft BitLocker Administration and Monitoring (MBAM) avec notamment 
      • Le déploiement du client BitLocker
      • La gestion des stratégies de chiffrement
      • Les rapports de conformité
      • Le site web d’administration et de supervision pour les clés de restauration.
      • Le site web en libre-service pour la récupération des clés par les utilisateurs.

    Les portails doivent être installés via un script d’installation dédié vous permettant de choisir les serveurs cibles.

     

    Console Configuration Manager

    • Dans le nœud Console Connections de la console d’administration :
      • L’administrateur a la capacité d’envoyer un message à d’autres administrateurs via Microsoft Teams.
      • La colonne Last Console Heartbeat a remplacé Last Console Time. La colonne Last Console Heartbeat donne aux administrateurs plus d'informations pour déterminer quelles connexions de console sont actuellement actives. Lorsqu'une console ConfigMgr est ouverte, une vérification est effectuée toutes les 10 minutes. Si la console s'exécute au premier plan pendant la vérification, la colonne Last Console Heartbeat est mise à jour.
    • Vous pouvez attacher des fichiers de journalisation ou de diagnostic lorsque vous envoyez des commentaires à Microsoft via la console d’administration. Ces renseignements supplémentaires peuvent aider Microsoft à déterminer plus rapidement la cause du problème. Les fichiers inclus avec le feedback sont transmis et stockés à l'aide de Microsoft Error Reporting..
    • L’administrateur peut activer la journalisation verbeuse globale d’un client Configuration Manager directement depuis la console d’administration en cliquant droit sur le périphérique en question.

    • Amélioration de la recherche dans la console d’administration avec notamment :
      • La possibilité d’utiliser l’option Tous les sous dossiers (All Subfolders) à partir des nœuds Queries et Driver Packages.
      • Lorsqu’un résultat de recherche comprend plus de 1000 résultats, vous pouvez cliquer sur OK dans la barre d’information pour les afficher.

     

    Plus d’informations sur cette version : What’s new in version 1910

    Pour obtenir les éléments relatifs au processus de mise à jour : https://docs.microsoft.com/en-us/sccm/core/servers/manage/updates

    Pour télécharger cette version en Early Wave, vous devez utiliser le script PowerShell