L’équipe produit a annoncé le support de .NET Framework 4.6.1 et 4.6.2 par System Center 2012 R2 Virtual Machine Manager (SCVMM). Microsoft a aussi validé le Windows Management Framework 5.0 (WMF 5.0) avec Windows Server 2012 R2.

Source : https://blogs.technet.microsoft.com/scvmm/2016/09/27/microsoft-virtual-machine-manager-and-support-for-net-framework/

Avec l’arrivée de Windows 10 1607, Microsoft a amélioré la fonctionnalité AppLocker visant à restreindre l’usage d’applications conformément à certaines règles. On peut apparenter ceci à une liste blanche d’applications. Auparavant, vous deviez définir une liste fixe qui pouvait parfois être difficile à maintenir. Avec Windows 10 1607, il est possible d’utiliser une nouvelle règle permettant d’autoriser l’exécution des applications installées par une certaine source/autorité. Vous pouvez donc déployer vos applications avec ConfigMgr tout en les faisant automatiquement approuvée par le système cible.

Dune Desormeaux (ConfigMgr PM – MSFT) a écrit un article pour détailler comment mettre en œuvre cette solution en utilisant System Center Configuration Manager 1606.

Je vous invite à lire son billet : https://blogs.technet.microsoft.com/enterprisemobility/2016/06/20/configmgr-as-a-managed-installer-with-win10/

Vous utilisez le connecteur Exchange de System Center Configuration Manager ou Microsoft Intune pour gérer des périphériques qui ne peuvent pas être enregistrés avec Microsoft Intune. Il existe un scénario où ce dernier peut ne rien découvrir lorsque vous ciblez une infrastructure Exchange On-Premises.

Ceci survient si vous êtes en train d’effectuer une migration de boite aux lettres. En effet le connecteur peut ne pas découvrir les périphériques si l’attribut ServerName de la boite aux lettres ne reflète pas le nom du serveur de boite aux lettres. Vous pouvez valider la valeur en utilisant la cmdlet Get-CASMailbox.

Pour résoudre le problème, vous devez mettre à jour la valeur de l’attribut ServerName pour refléter le bon Mailbox Server. Vous pouvez utiliser le script suivant : https://blogs.technet.microsoft.com/rmilne/2014/12/04/exchange-servername-points-to-wrong-or-decommissioned-server/

Si vous êtes au milieu d’une migration, vous devez faire pointer le connecteur Exchange sur un serveur CAS spécifique.

Source : https://blogs.technet.microsoft.com/karanrustagi/2016/06/20/exchange-connector-does-not-discover-mobile-devices-from-on-premises-exchange-server/

Mise à jour : Microsoft a publié une révision à cette mise à jour pour corriger des problèmes dans la logique d'installation.

Microsoft vient d’annoncer la publication d’une mise à jour (4.10.205.0) pour sa plateforme anti logiciels malveillants. Cette mise à jour concerne les clients System Center 2012 EndPoint Protection SP1/SP2/R2/R2 SP1 et System Center Configuration Manager Current Branch qu’ils soient gérés ou non. La mise à jour est publiée à travers Microsoft Updates sous la catégorie Critical Updates et le produit Forefront EndPoint Protection.

Que fait cette mise à jour ?

• Meilleur suppot de l’usage d’un Proxy Pac pour les connectivités à Microsoft Active Protection Service (MAPS) et à la protection Cloud. L’administrateur peut configurer l’URL d’un fichier .Pac en utilisant des stratégies de groupe.
• La plateforme anti logiciels malveillants avait introduit une fonctionnalité Network Real-time Inspection (NRI) pour améliorer les capacités de détection réseau du client. Par défaut, elle était désactivée. Le peu d’usage de la fonctionnalité a amené Microsoft à la supprimer.

Plus d’informations sur la KB3188693 : September 2016 anti-malware platform update for Endpoint Protection clients

Il y a quelques jours, un client me demandait où était le Management Pack de System Center Operations Manager pour Exchange Server 2016 ? N’ayant pas eu à implémenter la supervision de ce dernier, je ne m’étais pas penché sur le sujet. En regardant de plus près, Microsoft n’a pas pour objectif de sortir un Management Pack.

La raison est que le Management Pack pour Exchange Server 2013 avait été complétement retravaillé pour utiliser le concept Managed Availability. Du coup c’est Exchange qui gère la supervision et le Management Pack n’est qu’une interface entre SCOM et l’infrastructure.

Ainsi si vous souhaitez supervision Exchange Server 2016, il vous suffit d’utiliser le Management Pack Exchange Server 2013.

Source : https://blogs.technet.microsoft.com/exchange/2016/06/13/monitoring-exchange-server-2016-with-system-center-operations-manager/

Scott Breen (MSFT) a publié un script PowerShell visant à lister les consoles connectées à une infrastructure System Center Configuration Manager Current Branch. Cette fonctionnalité a été introduite à partir de la version 1602 et propose notamment une table v_CMConsoleUsageData. La procédure spCMUpsertConsoleUsageData est appelée pour mettre à jour les informations de télémétrie.

Son script liste les éléments de la table dont notamment :

• Le nom de la machine,
• Le nom de l’utilisateur,
• La date et l’heure de connexion
• Le code de site conencté
• La version du système
• L’architecture
• La version de la console
• La mémoire
• Les packs de langue
• Etc

Télécharger Get Configuration Manager Connected Consoles (Script)

Aujourd’hui, je vous propose un tour d’horizon d’un nouveau service appelé Azure Active Directory Identity Protection. Ce service est disponible dans les abonnements :

• Azure Active Directory Premium P2
• Enterpise Mobility + Security E5 (EMS)

La solution vous donne un aperçu de l’usage des différentes identités de votre entreprise et vous permet d’identifier les menaces, les événements, les risques, les vulnérabilités et éventuellement mettre en œuvre des stratégies adaptives. Azure AD Identity Protection est la transposition des mécanismes de sécurité utilisés par Microsoft pour les identités publiques dans le Cloud depuis une dizaine d’années. Microsoft utilise aussi des algorithmes de Machine Learning pour apprendre le comportement des utilisateurs et adapter la réponse aux différentes opérations d’identification. Le service peut être utilisé pour des identités Cloud, synchronisées ou fédérées.

On retrouve les types d’événements à risque suivants :

• Les identifiants volés sont identifiés avec un risque élevé. Ceci survient si les chercheurs des équipes de sécurité Microsoft ont retrouvés les identifiants dans le DarkNet. Ceci signifie alors clairement que l’identifiant a été compromis. Le rapport Azure AD Users with leaked credentials permet d’avoir un aperçu de ces événements.
• Les voyages impossibles vers des emplacements non communs sont identifiés avec un risque moyen. Ils surviennent quand deux connexions sont originaires depuis des emplacements géographiques distincts ne permettant pas le déplacement entre l’intervalle de connexion. Ceci indique d’un utilisateur différent a utilisé les identifiants et que ces derniers peuvent avoir été compromis. Le Machine Learning est utilisé pour ignorer les faux positifs comme les connexions depuis des VPNs ou des emplacements connus pour d’autres utilisateurs de l’organisation. La période d’apprentissage initiale est de 14 jours. Le rapport Azure AD Irregular sign-in activity donne une vision sur ces événements.
• Les connexions à partir des périphériques infectés par un logiciel malveillant connus pour dialoguer avec un serveur Bot. Microsoft utilise alors les adresses IP utilisées pour établir la connexion avec les adresses IPs connues pour dialoguer avec des Bots. La détection est donc basée sur l’adresse IP et classée comme faible dû au fait que cette dernière peut héberger plusieurs machines dont certaines ne sont pas infectées par le logiciel malveillant. Le rapport Azure AD Sign-ins from possibly infected devices liste les événements de ce type.
• Les connexions à partir des adresses IP anonymes sont identifiées avec un risque moyen. C’est le cas lors que la connexion à lieu à partir d’une adresse IP reconnues comme adresses IP proxy anonyme. C’est le cas par exemple pour les adresses IP du réseau Tor. Le rapport Azure AD Sign-ins from unknown sources donne la liste des événements correspondant.
• Les connexions à partir des adresses IP avec des activités suspicieuses sont identifiées avec un risque moyen. Ces adresses IP sont tagguées ainsi lorsqu’un grand nombre de tentatives de connexions en échec ont été détectées avec plusieurs comptes utilisateurs sur une période de temps courte. Ceci indique qu’un attaquant peut avoir compromis des comptes ou effectue des tentatives de brute force sur les comptes d’une organisation. L’algorithme de Machine Learning exclut les adresses IP qui sont régulièrement utilisées par les autres utilisateurs de l’entreprise. La période initiale d’apprentissage est de 14 jours. Le rapport Azure AD Sign-ins from IP addresses with suspicious activity donne la visibilité sur ces événements.
• Les connexions depuis des emplacements non communs sont identifiées avec un risque moyen. Ce type d’événements peut survenir si la connexion a lieu depuis une adresse IP ou un emplacement (latitude, longitude) correspondant à un nouvel emplacement de connexion. Le système garde ainsi un historique des emplacements connus de connexion pour un utilisateur. La période initiale d’apprentissage est de 14 jours.

L’ensemble de ces événements peuvent indiqués que l’identifiant a été compromis. Le risque spécifié pour chaque événement est calculé en fonction de la sévérité et de la confiance de l’information recueillie. Par exemple, une connexion à partir d’une adresse IP avec des activités suspicieuses ne veut pas nécessairement dire que la connexion à lieu depuis la machine qui effectue ces activités suspicieuses puisque l’adresse IP publique peut cacher des centaines de machines.

Création de l’environnement

Afin de créer l’environnement, vous devez disposer d’un annuaire Azure Active Directory et d’une licence Azure AD Premium P2 ou Entreprise Mobility + Security E5.
Connectez-vous au nouveau portail Microsoft Azure. Allez dans le MarketPlace et ajoutez Azure AD Identity Protection. Une fois ajouté, ouvrez la solution. La partie Getting started vous donne la liste des étapes à mettre en œuvre. Cliquez sur Onboard. Choisissez l’annuaire et cliquez sur Create pour activer la solution.

D’une manière générale, une fois la création de l’environnement effectuée, il est conseillé d’attendre une période d’au moins 14 jours pour commencer à créer des stratégies de gestion du risque.

Exploitation des données

Une fois l’environnement créé, vous commencez à obtenir des informations sur les utilisateurs de l’annuaire Azure Active Directory utilisé. La partie Overview donne cette vision avec le nombre d’utilisateur marqués comme à risque ou sécurisé. Vous retrouvez aussi les différents événements avec leur niveau ainsi que les vulnérabilités détectées sur votre environnement :

Une partie importante constitue l’investigation. Vous pouvez pour cela utiliser la partie Users flagged for risk pour obtenir une visibilité des utilisateurs à risque, le nombre d’événements, le statut et si l’utilisateur a une authentification à facteurs multiples configurées.

Vous pouvez obtenir plus de détails (la liste des types d’événement, les adresses IP, la date, le niveau de risque) sur chaque utilisateur en cliquant dessus. Vous pouvez voir l’ensemble des connexions de l’utilisateur, acquitter les événements à risque ou réinitialiser le mot de passe de l’utilisateur.

La vue Risk Events donne une visibilité non pas tournée sur les utilisateurs mais sur les différents types d’événements découverts en ayant le type de détection, le niveau de risque et le nombre. Pour chaque type d’événements, vous pouvez obtenir la liste des événements et utilisateurs concernés :

A partir de ces vues, vous pouvez gérer les différents événements en les marquant comme résolu (Resolve), faux positif (Mark as false positive), ignoré (Ignore), ou réactivé (Reactive).

La vue Vulnerabilities affiche la liste des vulnérabilités de votre environnement pour chaque utilisateur. Les vulnérabilités sont des faiblesses de votre environnement qui peuvent être exploitées par n attaquant. On retrouve notamment des vulnérabilités :

• Si l’enregistrement d’une authentification à facteurs multiples n’est pas configuré. Ce mode permet d’ajouter un second niveau de sécurité lors de l’authentification des utilisateurs
• Si vous avez des applications Cloud non gérées. Ces informations sont récupérées si vous utilisez le service Azure AD Cloud App Discovery pour découvrir les applications SaaS utilisées au sein de votre entreprise. Les applications remontées sont celles pour lesquelles vous ne fournissez pas de fédération via Azure Active Directory. Ceci peut potentiellement mener à de la fuite de données
• Si des alertes sont remontées depuis le service Azure AD Privileged Identity Management. Ce service permet de découvrir et résoudre des problèmes liés aux identités à privilèges. On retrouve par exemple des alertes si on retrouve un trop grand nombre d’utilisateurs avec le rôle Global Administrator, si vous avez des authentifications faibles pour certains rôles, etc.

Configuration pour limiter les risques

Une fois les données collectées, Azure AD Identity Protection permet la configuration de nombreuses stratégies visant à limiter les risques.

Il est par exemple possible de forcer l’enregistrement d’une authentification à facteurs multiples via la partie Multi-factor authentication registration policy. Vous devez commencer par définir quels utilisateurs seront ciblés (par défaut tous les utilisateurs) et quels utilisateurs doivent être exclus. Vous devez choisir le contrôle qui doit être appliqué à savoir autoriser l’accès mais demander un enregistrement à Azure MFA.

Une partie Estimated Impact vous permet de voir le nombre d’utilisateurs impactés :

Enfin l’option Enforce Policy vous permet de valider que vous appliquez bien la stratégie configurée.

Parmi les autres stratégies disponibles, on retrouve User risk Policy proposant une stratégie d’accès conditionnel qui évalue le risque d’un utilisateur spécifique et applique une action de remédiation. Cette stratégie s’applique lorsqu’un utilisateur a été marqué comme à risque et lorsqu’il a déjà eu des connexions à risque.
Comme précédemment, vous devez commencer par définir quels utilisateurs seront ciblés (par défaut tous les utilisateurs) et quels utilisateurs doivent être exclus. Vous devez ensuite choisir les conditions ; c’est-à-dire le niveau de risque auquel appliquer la stratégie parmi des types d’événements marqués comme faible ou plus, moyen ou plus, ou simplement élevé.
Vous devez ensuite choisir quel contrôle d’accès appliquer. Vous pouvez choisir de :

• Bloquer l’accès
• Autoriser l’accès mais demander un changement de mot de passe

Comme pour toute stratégie, une partie Estimated Impact vous permet de voir le nombre d’utilisateurs impactés à une instant t. Enfin l’option Enforce Policy vous permet de valider que vous appliquez bien la stratégie configurée.

Enfin la dernière stratégie Sign-in risk policy s’applique lorsqu’un utilisateur effectue une connexion à risque. Elle intervient dans tous types d’événements décrits plus haut dans l’article et donc bien avant qu’un utilisateur soit marqué à risque.
Comme précédemment, vous devez commencer par définir quels utilisateurs seront ciblés (par défaut tous les utilisateurs) et quels utilisateurs doivent être exclus. Vous devez ensuite choisir les conditions ; c’est-à-dire le niveau de risque auquel appliquer la stratégie parmi des types d’événements marqués comme faible ou plus, moyen ou plus, ou simplement élevé.
Le contrôle d’accès appliqué à cette stratégie revient à demander une authentification à facteurs multiples afin d’autoriser l’authentification.

Note : Vous devez valider que les utilisateurs ont enregistré une méthode d’authentification à facteurs multiples. Ceci peut être forcé notamment par la stratégie associée et décrite plus haut. Ceci constitue une bonne pratique.

Comme pour toute stratégie, une partie Estimated Impact vous permet de voir le nombre d’utilisateurs impactés à une instant t.

Enfin l’option Enforce Policy vous permet de valider que vous appliquez bien la stratégie configurée.

L’ensemble des stratégies décrites doivent vous permettre de minimiser l’impact en termes de sécurité sur les identités de l’entreprise (vol d’identifiants, etc.)

Configuration additionnelles

Outre les stratégies, on retrouve différentes configurations comme la configuration :

• De bulletins hebdomadaires (Weekly Digest) envoyés par email afin de résumer la situation
• De notifications (Alerts) par email en cas de détection de types d’événements d’un niveau de risque choisi.

Comportement lors des connexions

Lorsque l’utilisateur se connecte et est ciblé par une stratégie qui bloque sa connexion, il reçoit un message comme suit :

Lorsque l’utilisateur est ciblé par la stratégie d’enregistrement d’une authentification à facteurs multiples, la page suivante est proposée :

Il peut alors choisir un type d’authentification comme l’usage d’un téléphone :

Lorsque le système détecte une connexion inhabituelle, la page suivante est proposée :

Il devra alors répondre aux exigences de la règle d’accès conditionnel associée (par exemple faire appel à une authentification à facteurs multiples).

Microsoft IT a publié une étude de cas visant à expliquer comment ils ont couplé l’accès à distance avec Windows Hello for Business de Windows 10. Le but est de fournir une solution VPN unique pour les 180 000 utilisateurs. L’architecture comprend :

• Une infrastructure System Center Configuration Manager couplée à Microsoft Intune avec le Certificate Registration Point, NDES et une autorité de certification.
• Des serveurs RADIUS et Network Policy Server
• Des serveurs VPN avec RRAS et EAP-TLS.

L’étude de cas revient sur les différents composants et configurations.

Lire:

• Enabling remote access with Windows Hello for Business in Windows 10
• Implementing strong user authentication with Windows Hello for Business
  

A l’occasion de l’Ignite, Microsoft annonce la disponibilité générale d’Azure Service Fabric pour Windows Server. Service Fabric est une plateforme d'application mature de type microservices avec un support intégré pour la gestion du cycle de vie. Cette plateforme est disponible en téléchargement sans coût afin de vous permettre de déployer vos propres clusters Service Fabric dans vos Datacenters. Microsoft a aussi annoncé la previex de Service Fabric sur Linux.

Plus d’informations sur : https://azure.microsoft.com/en-us/documentation/articles/service-fabric-cluster-creation-for-windows-server/

Télécharger Service Fabric for Windows Server 2012 R2 and above

Source : https://azure.microsoft.com/fr-fr/blog/azure-service-fabric-for-windows-server-now-ga/

L'équipe Exchange vient de mettre à jour l'outil Exchange Server Role Requirements Calculator dans sa version 8.3. Cet outil est composé de feuilles Excel permettant d'entrer des données relatives à votre architecture. Cette nouvelle version prend en compte les améliorations du CU3 d’Exchange Server 2016 qui réduit la bande passante requise entre des copies active et passive. En outre, le calculateur supporte la capacité d’automatiquement calculer le nombre de DAGs et le nombre de serveurs Mailbox associés.

Le calculateur vous donnera les prérequis de :

• Rôles
• LUN
• Design du stockage
• Input
• Backup
• Log Replication

Plus d’informations sur : https://blogs.technet.microsoft.com/exchange/2016/09/20/released-exchange-server-role-requirements-calculator-8-3/

Télécharger Exchange Server Role Requirements Calculator

Microsoft a publié un article pour décrire un plan d’actions visant à sécuriser les accès privilégiés. Depuis plusieurs mois, les attaques sur les annuaires d’entreprise (Active Directory) ont été de plus en plus importantes avec notamment l’exploitation de failles Pass-The-Hash et Pass-The-Ticket.

Microsoft propose un plan en trois phases :

1. Phase 1 : 2 à 4 semaines :
   1. Séparer les comptes administrateurs pour les tâches administratives
   2. Privileged Access Workstations (PAW) : http://aka.ms/CyberPAW
   3. Configuration d’un mot de passe d’administrateur local unique pour les stations de travail. http://aka.ms/LAPS
   4. Configuration d’un mot de passe d’administrateur local unique pour les serveurs. http://aka.ms/LAPS
2. Phase 2 : 1 à 3 mois :
   1. Privileged Access Workstations (PAW) : Implémentation de stations de travail dédiées pour tous les employés avec des accès privilégiés : http://aka.ms/CyberPAW
   2. Utilisation du concept des privilèges Just-In-Time à durée limitée en utilisant MIM ou Azure AD Privileged Identity Management.
   3. Utilisation de l’authentification à facteurs multiples pour les élévations de priviléges.
   4. Implémentation de Just Enough Admin (JEA) pour la maintenance des contrôleurs de domaine.
   5. Abaisser la surface d’attaque du domaine et des contrôles de domaine.
   6. Détecter les attaques avec Microsoft Advanced Threat Analytics (ATA).
3. Phase 3 : 6 mois ou plus :
   1. Moderniser le modèle de délégation et les rôles
   2. Authentification avec SmartCard ou Microsoft Passport pour tous les administrateurs
   3. Création d’une forêt d’administration
   4. Implémentation des stratégies d’intégrité du code pour les contrôleurs de domaine (Windows Server 2016)
   5. Implémentation des machines virtuelles protégées (Shielded VMs) pour les contrôleurs de domaine virtuels.

Pour en apprendre plus, lisez : https://technet.microsoft.com/windows-server-docs/security/securing-privileged-access/securing-privileged-access

L’équipe SQL Server vient d’annoncer le support de la fonctionnalité Storage Spaces Direct de Windows Server 2016 par SQL Server 2016. Storage Spaces Direct permet l’agrégation des disques locaux pour un storage spaces à travers plusieurs serveurs réduisant considérablement le coût du stockage. Dans le cadre de SQL Server, elle apporte performance, capacité, disponibilité et réduction des coûts.

Plus d’informations sur : https://blogs.technet.microsoft.com/dataplatforminsider/2016/09/27/sql-server-2016-now-supports-windows-server-2016-storage-spaces-direct/

La semaine prochaine signe le début de l’événement Microsoft Experiences 2016 organisé par Microsoft. Cet événement est en remplacement des TechDays. Il se déroule sur deux jours : Mardi 4 et Mercredi 5 octobre. Microsoft, ses partenaires, ses communautés (MVP, MSP…) nous réservent des sessions impressionnantes.

Pour ma part j’animerais un talk le mercredi 05 de 13h40 à 14h00 sur la mobilité : Une transformation de l'environnement de travail.

En outre, vous pourrez me retrouver juste après pour un échange avec d’autres experts sur les enjeux d’infrastructure Cloud (14h30 à 15h15).

Vous pouvez toujours vous inscrire via l’adresse : Microsoft Experiences

A l’occasion de la conférence Microsoft Ignite 2016, Microsoft vient de faire des annonces concernant sa plateforme Microsoft Azure.

Parmi les annonces, on retrouve notamment :

General

• Disponibilité Générale de Windows Server 2016.
• Disponibilité Générale de System Center 2016.
• Technical Preview 2 d’Azure Stack.
• De la même manière que Citrix, Microsoft a annoncé un partenariat étroit avec Adobe pour la transformation digitale. Adobe va donc faire de Microsoft Azure sa plateforme Cloud privilégiée.
• Public Preview d’Azure Monitor ; un service de supervision intégré des ressources Azure pour les utilisateurs Azure. Vous pouvez y retrouver des métriques, des journaux, etc. Toutes ces informations sont rassemblées dans un seul tableau de bord. Vous pouvez faire des actions automatiques et des alertes.
• Preview d’Azure Command-Line Interface (CLI) 2.0.

Azure IaaS

• Disponibilité des machines virtuelles de série H. Le but est de fournir des performances importantes pour les applications HPC. Elle fournit de bonnes performances de calcul puisqu’elle est basée sur des processeurs Intel E5-2667 V3 3.2 GHz avec de la mémoire DDR4 et des disques SSD.
• Disponibilité des machines virtuelles de série L. Ces machines virtuelles sont optimisées au niveau du stockage. Elles sont destinées pour des applications qui nécessitent une faible latence, un haut débit et un stockage local important avec du stockage SSD jusqu’à 6TB.
• Disponibilité Générale des instances larges pour SAP HANA avec 32 TB de RAM.
• Disponibilité Générale d’Azure Disk Encryption pour les machines virtuelles standard Windows et Linux afin de protéger les disques système et de données.

Azure Networking

• Amélioration des performances de bande passante de 33 à 50%. Ceci est réalisé via l’utilisation de la technologies NVGRE. Les machines virtuelles Windows et Linux vont bénéficier de ces améliorations.
• Public Preview de Accelerated Networking fournissant jusqu’à 25GB/s et réduisant la latence avec un facteur 10. Les applications vont pouvoir bénéficier des nouvelles générations de technologies comme SR-IOV.
• Disponibilité Générale de VNET Peering permet de lier deux Virtual Networks dans la même région géographique directement. Vous pouvez donc relier deux machines virtuelles comme si elles faisaient partie du même réseau. L’opération est réalisée par un routage de paquets à l’intérieur du réseau backbone d’Azure. Ainsi aucune gateway n’est nécessaire. La latence est très faible et la bande passante très élevée. Il est possible de relier différents réseaux virtuels de différents abonnements et même entre ARM (v2) et ASM (v1).
• Support du protocole IPv6 de manière native pour les applications et services hébergés sur des machines virtuelles Azure.
• Nouvelle passerelle réseau privée virtuelle Active-Active pour une gateway VPN avec de haut niveau de performance.
• Disponibilité Générale de plusieurs VIPs sur des load balancers internes et de nouvelles options de réutilisation de port à travers les load balancers publics et internes.
• Disponibilité Générale d’Azure DNS. Ce nouveau service vous permet d’héberger vos domaines dans Azure en gérant les différents enregistrements en utilisant vos abonnements Azure. Vous pouvez créer des enregistrements de type : A, AAAA, CNAME, MX, NS, PTR, SOA, SRV and TXT.
• Support du chiffrement SSL de bout en bout et des stratégies de configuration SSL pour Application Gateway.

Azure Security Center

• Preview de l’intégration de solutions partenaires d’évaluation des vulnérabilités intégrée.
• Preview pour l’extension avec des solutions partenaires de Web Application Firewall (WAF) pour les environnements Azure App Service.
• Preview de l’évaluation de la sécurité du stockage.
• De nouvelles détections de menaces avec des analyses de comportement, des attaques DDoS ainsi qu’une amélioration des capacités de détection du brute force.
• Preview d’Enhanced Security Incidents.
• Preview des rapports d’attribution des menaces.

Operations Management Suite (OMS)

• Public Preview de la supervision VMware avec Operations Management Suite.
• Public Preview du connecteur pour Microsoft Azure Application Insights afin de renvoyer des données et les intégrer dans OMS.
• OMS doit maintenant avoir un abonnement Azure. Cet abonnement Azure est nécessaire pour associer un compte de stockage (Storage Account).
• L’abonnement OMS gratuit va être retiré.
• Public Preview d’une nouvelle version de l’OMS Gateway qui apporte notamment le support de System Center Operations Manager. Vous pouvez connecter un agent ou directement un Management Server.

Azure Key Vault

• Support intégré pour la création et le renouvellement automatique des certificats pour les applications Cloud.

Certifications :

• Microsoft apparaît sur la liste du Department of Commerce en étant certifié Privacy Shield. Ce système replace les principes du Safe Harbor Privacy.
• Obtention de la certification ISO 22301.

Autres services :

• Outlook pour iOS et Android utilisent maintenant uniquement le Cloud Microsoft. Auparavant, les applications déportaient une partie du service dans des fournisseurs Cloud tiers. Microsoft a donc travaillé pour ramener une partie du protocole de translation d’état dans Microsoft Azure. Ce dernier faisant l’interfaçage entre l’application Outlook et Exchange Online.   
• Disponibilité Générale des tables temporelles pour Azure SQL Database.

Source : https://azure.microsoft.com/fr-fr/blog/cloud-innovations-empowering-it-for-business-transformation/

L’équipe BornToLearn vient de publier un nouveau billet pour annoncer une rationalisation des certifications techniques. On retrouve ainsi 5 nouveaux statuts Microsoft Certified Solutions Expert (MCSE) et Developer (MCSD) :

• MCSE: Cloud Platform and Infrastructure est focalisé sur Windows Server, System Center et Microsoft Azure.
• MCSE: Mobility est focalisé sur Windows Client et Enterprise Mobility + Security
• MCSE: Data Management and Analysis est centré sur la validation des compétences à la fois On-Premises et Cloud pour les produits et services sur la donnée.
• MCSE: Productivity est tourné sur la validation des connaissances sur Office 365, SharePoint, Exchange, and Skype for Business
• MCSD: App Builder pointe les compétences sur le développement d’application Web et Mobile.

Les transcripts ont été mis à jour pour ces nouveaux statuts conformément à ceux éventuellement déjà acquis et toujours actifs dans la liste suivante :

• MCSE: Server Infrastructure
• MCSE: Private Cloud
• MCSE: Data Platform
• MCSE: Business Intelligence
• MCSE: Enterprise Devices and Apps
• MCSE: SharePoint
• MCSE: Communication
• MCSE: Messaging
• MCSD: Universal Windows Platform
• MCSD: Web Applications
• MCSD: SharePoint Applications

Note : Ces derniers seront retirés à partir du 31 mars 2017.

Pour ceux qui ont des MCSE ou MCSD inactifs, ils peuvent se re-certifier ou prendre un examen de la liste associé au nouveau statut pour être mis à jour.

Source : https://borntolearn.mslearn.net/b/weblog/posts/microsoft-streamlines-technical-certifications

Il y a deux mois, Microsoft annonçait un programme Microsoft Professionnal Degree (MPD) permettant d’obtenir un diplôme calibré sur le curriculum universitaire pour les professionnels de l’informatique. L’initiative est construite sur la plateforme Open edX d’Azure et va initialement se concentrer sur un programme de science de la donnée. L’objectif de Microsoft est d’appliquer d’offrir du Learning as-a-Service. Aujourd’hui, Microsoft vient d’ouvrir les inscriptions pour le programme Data Science.

Microsoft prévoit deux autres programmes : Big Data Engineering et Front end Web Development.

Pour s’enregistrer, c’est par là : https://academy.microsoft.com/en-us/professional-degree/data-science

Plus d’informations :  https://borntolearn.mslearn.net/b/weblog/posts/announcing-open-registration-for-the-data-science-track-of-the-microsoft-professional-program-mpp

Depuis Windows 10 1607, Microsoft a intégré les clients Microsoft Application Virtualization (App-V) et User Experience Virtualization (UE-V) dans les éditions Enterprise et Education. Ceci est une grande avancée qui a deux objectifs :

• Eviter les contraintes que l’on pouvait rencontrer pour le déploiement du client.
• Permettre aux équipes de développement d’aborder une approche as-a-Service en mettant à jour plus souvent les produits.

En outre, le générateur de modèles UE-V et le séquenceur App-V font maintenant parti de Windows 10 Assessment and Deployment Kit (ADK).

Pour rappel, MDOP n’est plus un package nécessitant un achat séparé. Le pack est inclus lors de l’achat de la Software Assurance.

Comment activer les clients App-V et UE-V sur Windows 10 Enterprise ?

On retrouve plusieurs solutions :

• En utilisant les stratégies de groupe via les nouveaux modèles ADMX
• En utilisant PowerShell via des scripts, la gestion des paramétrages ou le déploiement de système d’exploitation (OSD) de System Center Configuration Manager

Pour App-V, si vous souhaitez proposer l’interface du client, vous devez déployer : Microsoft Application Virtualization 5.0 Client UI Application

Utilisation des stratégies de groupe (GPO)

Commencez par récupérer les modèles d’administration pour Windows 10 1607 et Windows Server 2016. Exécutez l’assistant d’installation. Récupérez els fichiers présent dans l’arborescence d’installation pour les placer dans %systemroot%\sysvol\domain\policies\PolicyDefinitions.

Ouvrez ensuite l’éditeur des stratégies de groupe et naviguez dans Computer Configuration > Administrative Templates > System > App-V.

Changez la valeur du paramétrage Enable App-V Client

Les sous dossiers : Publishing, Reporting, etc. permettent de configurer le client.

Pour UE-V, naviguez dans Computer Configuration > Administrative Templates > Windows Components > Microsoft User Experience Virtualization.

Changez la valeur du paramétrage Enable UEV.

Après activation des paramètres, vous pouvez vérifier l’état du service :

Utilisation de PowerShell

Pour activer le client App-V, on retrouve :

Import-Module AppvClient
Enable-AppV

Pour activer le client UE-V, on retrouve :

Import-Module UEV
Enable-UEV

Vous pouvez vérifier l’état via :

Get-AppvStatus
Get-UEVStatus

Microsoft vient de mettre à disposition la Technical Preview 1609 (5.0.8445.1000) de System Center Configuration Manager. ConfigMgr a subi une refonte de sa structure pour permettre des mises à jour aisées de la même façon que l’on peut le voir avec Windows 10. Si vous souhaitez installer cette Technical Preview, vous devez installer la Technical Preview 5 (équivalent de la TP1603) puis utiliser la fonctionnalité Updates and Servicing (nom de code Easy Setup).

System Center Configuration Manager TP 1609 comprend les nouveautés suivantes :

• Intégration avec Windows 10 Upgrade Analytics présent dans l’Operations Management Suite. Upgrade Analytics permet l’évaluation de la compatibilité des périphériques et applications vis-à-vis de Windows 10.
• Un tableau de bord pour la gestion des clients Office 365 permet de suivre les mises à jour et déploiements.
• Nouveau nœud Office 365 Servicing dans la partie Software Library pour permettre de déploiement Office 365 pour les clients.
• Amélioration concernant la conversion du BIOS à l’UEFI. Une séquence de tâches peut être personnalisées avec une nouvelle variable TSUEFIDrive afin que la tâche Restart Computer prépare le disque pour une transition vers UEFI.
• Amélioration des paramètres de stratégies antimalware Endpoint Protection afin de spécifier le niveau de risque auquel le service de protection Cloud bloquera les fichiers suspicieux.
• Amélioration des groupes de limites (Boundary Group) en fournissant un contrôle granulaire du comportement de fallback et une meilleure visibilité sur quel point de distribution est utilisé. La notion de Fallback n’existe plus sur un point de distribution ; vous définissez pour un Boundary Group les connexions et le temps à partir duquel il faut basculer.
  • Suppression de la notion de Fast ou Slow
  • Nouveau Boundary Group par défaut pour chaque site appelé Default-Site-Boundary-Group<sitecode>
  • L’option ‘Allow fallback source locations for content’ est supprimé.
• Windows Store for Business :
  • Il est maintenant possible de déployer des applications payantes pour les périphériques enregistrés à Microsoft Intune.
  • Vous pouvez initier une synchronisation imédiate.
  • Il est possible de modifier la clé secrète cliente que vous obtenez d’Azure Active Directory.
  • Les clients essayent d’obtenir du contenu pour chaque point de distribution pendant 2 minutes.

En outre, on retrouve les fonctionnalités hybrides suivantes :

• Les paramètres TouchID, ApplePay et Zoom sont intégrés dans les profils DEP pour iOS et Mac.
• Types de connexion natifs (Microsoft Automatic, IKEv2, PPTP) pour les profils VPN Windows 10.
• Un tableau de bord dans la partie Monitoring permet de suivre la conformité des périphériques et le top des raisons de non-conformité.
• Les administrateurs peuvent maintenir définir le nombre de périphériques (jusqu’à 15) qu’un utilisateur peut enregistrer.
• Ajout de paramètres additionnels Android.

Password settings

• Remember password history
• Allow fingerprint unlock

Security settings

• Require encryption on storage cards
• Allow screen capture
• Allow diagnostic data submission

Browser settings

• Allow web browser
• Allow autofill
• Allow pop-up blocker
• Allow cookies
• Allow active scripting

App settings

• Allow Google Play store

Device capability settings

• Allow removable storage
• Allow Wi-Fi tethering
• Allow geolocation
• Allow NFC
• Allow Bluetooth
• Allow voice roaming
• Allow data roaming
• Allow SMS/MMS messaging
• Allow voice assistant
• Allow voice dialing
• Allow copy and paste
• Ajout de paramètres additionnels iOS.

Password settings

• Number of complex characters required in password
• Allow simple passwords
• Minutes of inactivity before password is required
• Remember password history
• Ajout de paramètres additionnels Mac OS X

Password settings

• Number of complex characters required in password
• Allow simple passwords
• Remember password history
• Minutes of inactivity before screensaver activates
• Ajout de paramètres additionnels pour Windows 10 Desktop et Mobile Devices

Password settings

• Number of complex characters required in password
• Allow simple passwords
• Remember password history
• Minutes of inactivity before screensaver activates

New settings for Windows 10 Desktop and Mobile devices

Password settings

• Minimum number of character sets
• Remember password history
• Require a password when the device returns from an idle state

Security settings

• Require encryption on mobile device
• Allow manual unenrollment

Device capability settings

• Allow VPN over cellular
• Allow VPN roaming over cellular
• Allow phone reset
• Allow USB connection
• Allow Cortana
• Allow action center notifications

New settings for Windows 10 Team devices

Device settings

• Enable Azure Operational Insights
• Enable Miracast wireless projection
• Choose the meeting information displayed on the welcome screen
• Lockscreen background image URL

New settings for Windows 8.1 devices

Applicability settings

• Apply all configurations to Windows 10

Password settings

• Required password type
• Minimum number of character sets
• Minimum password length
• Number of repeated sign-in failures to allow before the device is wiped
• Minutes of inactivity before screen turns off
• Password expiration (days)
• Remember password history
• Prevent reuse of previous passwords
• Allow picture password and PIN

Browser settings

• Allow automatic detection of intranet network

Plus d’informations sur : https://technet.microsoft.com/en-us/library/mt772349.aspx

Microsoft met à disposition la seconde Technical Preview d’Azure Stack. Pour rappel, le but est de mettre Azure dans l’entreprise à un niveau bien plus poussé que ce qui était proposé auparavant. Microsoft annonce même que le code utilisé est le même entre Azure et Azure Stack. Azure Stack est la combinaison de Windows Server 2016, Azure Pack et Azure Service Fabric. Ceci se traduit par :

• Un cloud consistant pour de l’Infrastructure as a Service (IaaS) et du Platform as a Service (PaaS)
• Un modèle d’application unifié avec Azure Resource Manager
• Les services fondamentaux : Calcul, Réseau, et de stockage
• Un Portail Azure consistant avec une interface graphique équivalente à celle de Microsoft Azure
• Un scénario de facturation simplifié
• Administration d’Azure en mode Cloud et On-Premises

Cette TP2 apporte les éléments suivants :

• Azure Queue Storage comme messagerie d’application
• Azure Key Vault pour la gestion des clés
• Intégration des technologies d’administration d’infrastructure.

Microsoft apportera de nouveaux services dans les prochaines semaines comme App Service.

Télécharger :

• Microsoft Azure Stack Technical Preview 2 En version d’évaluation
• Un livre blanc sur les concepts d’Azure Stack

Microsoft a publié un outil permettant d’intégrer les journaux générés par Microsoft Azure dans votre SIEM (Security Information and Event Management). Le but est de vous donner un tableau de bord unique avec vos assets On-Premises ou dans le Cloud afin d’agréger, corréler, analyser et alerter des problèmes de sécurité de vos applications.

Pour intégrer les journaux des machines virtuelles, vous devez :

• Vous assurer que vous collectez bien les journaux dans votre compte de stockage Windows Azure Diagnostics
• Ouvrir l’invite de commande depuis C:\Program Files\Microsoft Azure Log Integration et exécuter azlog source add 'FriendlyNameForTheSource' WAD 'Storage account Name' 'StorageKey'
• Ouvrir l’invite de commande depuis C:\Program Files\Microsoft Azure Log Integration et exécuter :
  • azlog createazureid
  • azlog authorize 'Subscription Name'
• Les logs sont collectés dans Microsoft Azure et écrit dans les journaux d’évènements : Windows Event log –> Forwarded Events sur Azlog Integrator
• Vous pouvez ensuite collecter ces événements avec un connecteur vers votre SIEM (ex : Splunk Universal Forwarder or ArcSight Windows Event Smart Collector or QRadar WinCollect)

Prérequis : Windows Server 2012, Windows Server 2012 R2

Plus d’informations sur : https://blogs.msdn.microsoft.com/azuresecurity/2016/07/21/microsoft-azure-log-integration-preview/

Télécharger Microsoft Azure Log Integration for Azure logs (Preview)

Microsoft a travaillé sur un nouveau service appelé Windows Upgrade Readiness (ex Upgrade Analytics) qui a pour intérêt de vous aider à migrer Windows 10. La solution est disponible au travers d’Operations Manager Suite (OMS). Ce service dans le Cloud en Public Preview, peut vous aider à évaluer la compatibilité matérielle, drivers et logiciels des périphériques. Il utilise le principe de télémétrie pour collecter de la donnée dans votre environnement. Les clients renvoient ainsi les données nécessaires au service dans le Cloud qui les traite afin de ressortir les informations adéquates.

L’administrateur peut ensuite :

• Prioriser les applications,
• Décider si une application, un driver pourra être mis à niveau
• Obtenir des éléments d’information et de recommandation avec la base de compatibilité de Microsoft. Cette dernière est basée sur le site ReadyForWindows qui toutes les applications officiellement déclarées comme supportées pour Windows 10.

L’ensemble de ces informations sont agrégées afin de connaître la liste des ordinateurs pouvant être migrés ou étant bloqués dû à des problèmes d’incompatibilité.

Note 1 : Les données de télémétrie sont chiffrées sur la machine et envoyée à Microsoft pour un traitement dans les Datacenters aux Etats Unis.
Note 2 : Pour voir la liste des éléments inventoriés, vous pouvez consulter le lien suivant : https://go.microsoft.com/fwlink/?LinkID=822965

Il existe ensuite un certain nombre de prérequis :

• Des postes de travail Windows 7, Windows 8 ou Windows 8.1
• PowerShell 3.0 est nécessaire (Windows 7).
• Vous devez déployer les KB suivantes :
  • Windows 7 SP1 :
    • KB2952664
    • KB3150513
  • Windows 8.1 :
    • KB2976978
    • KB3150513
• Pour l’installation la solution n’est disponible que pour les Workspaces OMS créé dans les régions East US et West Europe.
• Les clients communiquent via le compte System et ne supporte pas les authentification proxies.
• De ce fait, vous devez autoriser les URL :
  • https://v10.vortex-win.data.microsoft.com/collect/v1
  • https://settings-win.data.microsoft.com/settings
  • https://go.microsoft.com/fwlink/?LinkID=544713
  • https://compatexchange1.trafficmanager.net/CompatibilityExchangeService.svc/extended
  • https://vortex.data.microsoft.com/health/keepalive
  • https://settings.data.microsoft.com/qos
  • https://compatexchange1.trafficmanager.net/CompatibilityExchangeService.svc

Pour la tester la solution : http://go.microsoft.com/fwlink/?LinkID=817301

Allez dans la galerie des solutions et ajoutez Upgrade Analytics (Preview) :

Cliquez ensuite sur la tuile Settings puis naviguez dans Connected Sources – Windows Telemetry. Sauvegardez la clé Commercial ID afin de l’utiliser dans le script de déploiement.

Activez la souscription (Subscribe) pour Upgrade Analytics.

Vous pouvez ensuite revenir sur la page principale afin de valider que la tuile Upgrade Analytics a changé d’état.

Ensuite, un script de déploiement est disponible afin de :

• Configurer les clés : commercial ID key + CommercialDataOptIn + RequestAllAppraiserVersions
• Vérifier que les ordinateurs peuvent envoyer des données à Microsoft
• Valider que l’ordinateur n’a pas de redémarrage en attente
• Vérifier que les dernières versions des packages de KB sont installées (10.0.14348 ou plus)
• Si spécifié, il active le mode verbeux pour un dépannage
• Initie la collection des données de télémétrie dont Microsoft a besoin pour faire l’évaluation de la mise à niveau.

Vous devez pour cela éditer les paramètres du fichier RunConfig.bat

Exécutez le script en tant qu’Administrateur. Ce script peut être déployé manuellement ou par un outil de télédistribution tel que System Center Configuration Manager.

Lorsque le script s’exécute, vous pouvez voir qu’il fait appel :

• Au processus CompatTelRunner.exe
• Aux services Windows Store Service (WSService) et Appx Deployment Service (AppXSVC) sur Windows 8.1

Une fois le script exécuté et les données envoyées dans le Cloud, le service agrège les données pour en ressortir les informations nécessaires. Cette opération peut prendre jusqu’à 48 heures avant que les données apparaissent dans le dashboard. Notez que les données générées ne sont pas comptabilisées dans le quota OMS.

Une fois les données agrégées, vous pouvez consulter le tableau de bord qui propose un découpage en 3 phases :

Prepare your environment permet d’avoir un aperçu de l’environnement avec le notamment :

• Le nombre total d’ordinateurs inventoriés
• Le nombre d’ordinateurs mis à niveau
• Le nombre total d’applications

Un widget Run a Pilot permet de lister les machines qui peuvent faire partie d’un pilote (sans problèmes connus, avec de nouveaux drivers, avec des problèmes corrigés pendant la mise à niveau). Les machines listées n’ont pas de problème système ou applicatif.

Un widget Prioritize Applications permet de lister toutes les applications installées sous forme d’un tableau ou d’une liste. Le mode User Changes vous permet de définir le niveau d’importance (Business Critical, Important, Ignore, Review in Progress) et la décision de mettre à niveau (Review in Progress, Ready to upgrade, Won’t Upgrade). Cette dernière influe le calcule permettant de connaître la liste des postes pouvant être mis à niveau.

Resolve Issues permet de revoir les applications et drivers.

Un widget Review Applications with Known Issues fait un focus sur les applications avec des problèmes connus qui peuvent avoir besoin d’une attention, dont un correctif est disponible ou qui a plusieurs problèmes. On y retrouve des informations telles que le nombre d’installation, le nombre d’ordinateurs actifs, le pourcentage d’ordinateurs actifs, le problème et les recommandations. Dans mon cas, j’ai l’antivirus System Center Endpoint Protection qui est en réalité retiré lors de la mise à niveau. De la même façon, la fonction User Changes permet de définir le niveau d’importance (Business Critical, Important, Ignore, Review in Progress) et la décision de mettre à niveau (Review in Progress, Ready to upgrade, Won’t Upgrade).

Un widget Review Applications with no known issues propose une approche similaire au widget Prioritize Applications en proposant de définir la décision de mise à niveau.

Un widget Review Known Drivers issues liste les drivers inventoriés dont des problèmes ont été référencés. Ils sont rassemblés par catégories comme les drivers disponibles par défaut, les drivers compatibles sont disponibles à partir de Windows Update, ou devant être vérifiés auprès du fabricant. On y retrouve des informations telles que le nombre d’ordinateurs actifs, le pourcentage d’ordinateurs actifs, le problème et les recommandations. Vous pouvez définir la décision de mise à niveau.

Deploy Windows propose un widget donnant une vue synthétique par machine avec les informations suivantes :

• Nom
• Fabricant
• Modèle
• Version du système
• Nombre total de problèmes référencés
• Nombre total de problèmes relatifs au système
• Nombre total de problèmes relatifs aux applications
• Nombre total de problèmes relatifs aux drivers
• L’évaluation de la mise à niveau
• La décision de la mise à niveau

Ces deux dernières informations sont déterminées en agrégeant l’ensemble des données inventoriés et des informations de priorisation et de mises à niveau que vous avez renseigné.

Microsoft a rajouté une partie Site Discovery permettant d'utiliser Internet Explorer Site discovery toolkit pour collecter les informations d'usage des sites internet. Ceci vous donne ainsi une vision des sites Intranet pouvant être consultés afin de réaliser l'évaluation.

 Bonne Migration !

Microsoft a annoncé Windows Server 2016 en Disponibilité Générale. Cette version est clairement tournée vers le Cloud. L’ISO est disponible en version d’évaluation par le grand public. Parmi les nouveautés, on retrouve :

General

• Meilleure fiabilité du temps due à des améliorations sur Win32 Time et les services de synchronisation du temps Hyper-V. Windows Server peut maintenant héberger des services qui sont conformes aux régulations qui requièrent une fiabilité de 1ms avec le temps UTC.

Compute et Virtualisation : Simplification de la mise à jour, nouvelles options d’installation, amélioration de la stabilité sans limiter l’agilité.

• les machines virtuelles blindées (Shielded VM) sont compatibles avec Hyper-V Replica.
• Les conteneurs offrent un nouveau niveau d’isolation. Le code s’exécute alors dans un conteneur dédié et isolé afin de ne pas impacter le système d’exploitation hôte ou les autres conteneurs. Microsoft a travaillé avec la communauté Docker pour prendre en compte les innovations dans ses produits et services.
• Mise à jour aisée d’Hyper-V et les serveurs de fichiers en cluster pour une adoption plus rapide et sans interruption de service, et de prérequis matériel.
• Fonctionnalité d’ajout et retrait à chaud de mémoire et de cartes réseaux
• Support du redimensionnement à chaud des fichiers VHDX partagés
• Résilience de la capacité de calcul des machines virtuelles afin qu’elle continue de s’exécuter même si le service de calcul en cluster échoue
• Nouveau format (.VMCX) des fichiers de configuration des machines virtuelles pour faciliter la lecture et l’écriture.
• Production checkpoints est une nouvelle méthode qui remplace les snapshots qui n’avaient pas été prévus pour de la production. Les snapshots capturaient l’état de mémoire des applications en cours d’exécution. L’état était alors complétement restauré lors de l’application du checkpoint. Les production checkpoints utilisent maintenant les Vss pour créer un instantané consistent des données. Plus d'informations sur : http://blogs.technet.com/b/scvmm/archive/2015/11/19/the-new-checkpoint-options-in-microsoft-virtual-machine-manager.aspx
• Nano Server : Ce système est une version retravaillée de Windows Server avec une emprunte réduite du système. Il est gérable à distance, optimisé pour le cloud et pour les workflows DevOps. Il est ainsi optimisé pour de meilleures utilisations de ressources, des démarrages rapides, une surface d’attaque réduite, et sur une gestion moins lourde (peu de mises à jour…)
  • Mise à jour du module de construction des images Nano Server.
  • Amélioration de la console de restauration
  • Ajout de Windows Update aux outils d'administration de serveur afin de gérer les mises à jour.
  • Support du rôle DNS Server
  • Support du rôle IIS Server
  • Support de MPIO
  • Support de SCVMM
  • Support de SCOM
  • Support du mode push pour Desired State Configuration
  • Support de DCB
  • Support de Windows Server Installer
  • Support du provider WMI pour Windows Update
  • Un module Powershell permet maintenant la création d’images Nano Server
• Les services d’intégration sont maintenant délivrés à travers Windows Update afin de faciliter leur mise à jour.
• Linux secure boot : Les machines virtuelles de génération 2 peuvent maintenant démarrer avec l’option Secure Boot. Ce s’applique à Ubuntu 14.04 et plus et SUSE Linux Enterprise Server 12.
• Support du Connected Standby pour les ordinateurs qui utilisent Always On/Always Connected (AOAC) et qui ont le rôle Hyper-V
• Support de la virtualisation imbriquée pour virtualiser Hyper-V

Réseau : Amélioration de l’investissement pour rendre le réseau plus flexible et moins couteux tout en assurant de hautes performances

• Cartes réseaux convergées à travers les tenants et le trafic RDMA pour optimiser les coûts, permettre de hautes performances et une tolérance de panne avec 2 cartes au lieu de 4
• PacketDirect sur 40GB pour optimiser les performances

Stockage : Extension des capacités pour le stockage définie par logiciel avec un accent sur la résilience, la réduction du coût et un contrôle accru.

• Amélioration pour la simplification, l’administration des petits environnements Storage Spaces Direct. On retrouve la configuration automatique, la gestion de Storage Spaces Direct avec Virtual Machine Manager, le déploiement avec 3 serveurs, les déploiements avec NVMe, SSD et HDD.
• Résilience du chemin de stockage des machines virtuelles afin de mettre en pause et redémarrer proprement la machine en réponse à un problème avec le chemin de stockage permanent ou temporaire
• Storage Spaces Direct pour permettre l’agrégation des Storage Spaces à travers plusieurs serveurs réduisant considérablement le coût du stockage
• QoS du Stockage pour plus de contrôle et des performances prévisibles
• Storage Replica donne maintenant de la réplication de stockage synchrone pour une continuité d'activité abordable et des stratégies de reprise après désastre. Plus d'informations sur les nouveautés de Storage Replica : https://blogs.technet.microsoft.com/filecab/2016/05/10/whats-new-in-storage-replica-for-windows-server-2016-technical-preview-5/
• Déduplication : Utilisation de la taille du volume dont vous avez besoin, jusqu’à 64TB
• Déduplication : les fichiers de plus d’1TB sont bons candidats pour le déduplication
• Déduplication : Support de l’utilisation de la déduplication avec les applications de sauvegarde virtualisés
• Déduplication : Support de Nano Server

Identité : Gérer les identités dans le cloud ou en mode hybride

• Gestion des accès privilégiés :
  • Une nouvelle forêt bastion Active Directory alimentée par des MIM. La forêt bastion a une relation d’approbation spéciale avec la forêt existante. Il fournit un nouvel environnement Active Directory qui est libre de toute activité malveillante, et isolé de la forêt existante pour l'utilisation des comptes privilégiés.
  • Nouveaux processus MIM pour demander des privilèges d'administration, avec de nouveaux workflows basés sur l'approbation des demandes.
  • Nouveaux groupes shadow security principals qui sont provisionnés dans la forêt bastion par MIM en réponse aux demandes de privilèges d'administration. Les entités ont un attribut qui référence le SID d'un groupe d'administration dans une forêt existante. Cela permet au groupe d’accéder aux ressources dans une forêt existante sans modifier les listes de contrôle d'accès (ACL).
  • Un lien expirant, ce qui permet l’appartenance à un groupe pendant une période donnée. Un utilisateur peut être ajouté au groupe juste le temps nécessaire pour effectuer une tâche administrative. La composition limitée dans le temps est exprimé par un time-to-live (TTL) qui se propage à un ticket Kerberos.
  • Nouvelles capacités de monitoring pour vous aider à identifier facilement qui a demandé, quel accès a été accordé, et quelles activités ont été réalisées.
  • Azure AD Join
  • Support de Microsoft Passport
  • Dépréciation du service de réplication de fichiers (FRS) et du niveau fonctionnel Windows Server 2003

• Le contrôle d’accès conditionnel dans AD FS pour demander la conformité du périphérique avec des stratégies pour accéder à des ressources
• AD FS peut maintenant authentifier des utilisateurs stockés dans des annuaires LDAP.
• Support de l’authentification d’application avec OpenID Connect et OAuth

Securité : Protection contre les menaces avec une approche « Zero-trust »

• Nouveau service Host Guardian, faisant partie d’une limite et d’isolement entre les couches du système d’exploitation invités et l’infrastructure Cloud
• Réduction des tâches d’administration à ce qui est nécessaire pour réduire les brèches de sécurité et permettre aux utilisateurs de ne faire que les tâches nécessaires.
• Windows Server Antimalware est installé et activé par défaut. L’interface utilisateur n’est pas présent mais le moteur est mis à jour avec les définitions et permet une protection du serveur.
• Ajout du support de l’exécution sous une identité réseau, en se connectant par PowerShell Direct, en copiant de manière sécurisée des fichiers depuis/vers des points de terminaison JEA et en configurant la console PowerShell avec le contexte JEA par défaut.

Haute Disponibilité :

• Les clusters peuvent maintenant héberger des nœuds présents dans plusieurs domaines ou en mode workgroup. Ceci retire la dépendance à Active Directory
• Les clusters Failover peuvent maintenant utiliser la notion de témoin dans le cloud (Cloud Witness) pour utiliser Microsoft Azure comme point d’arbitrage.
• Les Failover Clusters site-aware qui permettent de définir des groupes de nœuds dans un cluster étendu sur plusieurs sites en fonction de leur emplacement physique (du site).
• Amélioration du diagnostic pour les clusters avec de nouvelles informations dans les fichiers de journalisation et un nouveau type de dump (Active memory dump).

Administration : Simplification des tâches d’administration

• Capacité d’exécuter PowerShell.exe localement sur Nano Server. Nouvelles cmdlets Pour l’ajout d’utilisateurs et de groupes pour remplacer l’interface graphique, ajout du support du dépannage PowerShell.
• de
• Mise à jour de PowerShell Desired State Configuration (DSC) pour permettre le déploiement, la mise à jour et l’administration aisée.
• PowerShell Package Manager pour le déploiement et l’administration de packages unifié
• Support complet pour des identifiants alternatifs dans Hyper-V Manager et Hyper-V Powershell
• PowerShell Direct to virtual machine : Vous pouvez exécuter des commandes Powershell directement dans les machines virtuelles depuis l’hôte.
• La console Windows a été mise à jour pour inclure de nombreuses fonctionnalités
• De nombreuses nouveautés concernent directement PowerShell

Virtualisation de Présentation :

• Utiliser Azure SQL DB pour les environnements hautement disponible Remote Desktop Connection Broker.
• Support complet d’OpenGL avec Remote Desktop services pour des scénarios VDI
• Vous pouvez utiliser des machines virtuelles de génération 2 avec Remote Desktop.
• Support des stylets à travers les sessions.
• Support de Microsoft Edge par Remote Desktop Session Host
• Windows Multipoint Services est maintenant un rôle de Windows Server 2016 qui lorsqu’il est installé, installe aussi le rôle Remote Desktop Session Host

On retrouve aussi d’autres fonctionnalités comme :

• Support côté serveur pour http/2 avec la compression d’entête, les connexions multiplexées et le push server
• De nouvelles fonctionnalités pour Web Application Proxy
• Implémentation des stratégies DNS (DNS Policies) pour contrôler les réponses DNS en fonction de l'emplacement géographique.

Microsoft a publié The Ultimate Guide to Windows Server 2016

Télécharger Windows Server 2016 en version d’évaluation

Tout comme pour Windows Server 2016, Microsoft a annoncé la disponibilité générale pour les produits de la suite System Center 2016. La suite sera disponible prochainement pour les abonnés MSDN/Technet mais elle est déjà téléchargeable en version d’évaluation pour le grand public.

Voici les nouveautés :

Data Protection Manager

• Protection des machines virtuelles Hyper-V qui utilisent Storage Spaces Direct
• Support de la protection des machines virtuelles protégées avec une TPM virtuelle.
• Amélioration de la sauvegarde des machines virtuelles Hyper-V avec Resilient Change Tracking (RCT). RCT fournit une nouvelle forme intégrée de suivi des changements pour les disques durs virtuels des machines virtuelles Hyper-V, offrant une meilleure résilience que le suivi des modifications fournies par des sauvegardes VSS par cliché. DPM utilise RCT pour la sauvegarde incrémentielle. Il identifie les changements VHD pour les machines virtuelles, et transfert uniquement les blocs qui sont indiquées par le tracker de changements.
• Protection continue des clusters en mode mixte (Windows Server 2016 et Windows Server 2012 R2)
• Amélioration des performances : Cela se fait par la mise en cache persistante des sources de données, la taille des données non utilisées pendant le nettoyage de la base de données tous les soirs.
• Reporting amélioré dans la console centrale DPM : Introduit avec DPM 2012 R2 UR5, cette fonctionnalité permet d’utiliser SCOM et son Data Warehouse pour fournir des rapports avancés.

Operations Manager

• Un nouvel écran Tune Management Pack permet de réduire les alertes qui ne sont pas importantes dans l’environnement. La fonctionnalité Alert Data Management permet d’identifier le nombre d’alertes générées par chaque Management, moniteur/règle, source. Vous pouvez filtrer les données sur une durée souhaitée pour comprendre ce qu’il se passait pendant un temps donné. Le but est de ne plus à avoir allé analyser la base de données.
• OpsMgr inclut un outil qui permet de créer un Management Pack pour superviser des périphériques réseaux génériques (non certifiés par défaut) en incluant des métriques d’utilisation de ressources (CPU, Mémoire, etc.). Vous pouvez aussi créer des workflows de supervision étendu pour des périphériques déjà connus.
• Amélioration de la stabilité de l’agent UNIX/Linux. Le nombre d’agents qui peuvent être supervisées par un Management Server a été multiplié par 2. OpsMgr utilise maintenant les nouvelles APIs Async Windows Management Infrastructure (MI). Vous devez créer une clé de registre pour utiliser ce mode de fonctionnement.
• Amélioration des performances de la console notamment pour les vues alertes. Ceci inclut aussi le chargement des menus contextuels.
• Un écran Partner Solutions permet d’avoir une vision de toutes les solutions proposées par les partenaires. Vous pouvez les acquérir ou les télécharger directement depuis la console d’opérations.
• Planification de maintenance : Microsoft introduit la capacité de mettre en mode maintenance dans le futur via un assistant de planification permettant de choisir les entités à mettre en mode maintenance. Vous pouvez aussi choisir une récurrence.
• Nouvelles capacités de supervision pour Azure, Office 365, SQL Server et Exchange
• Amélioration du catalogue de Management Pack. On retrouve notamment un écran "Management Pack Recommendations and Updates" qui vous recommande des Management Packs sur la base de ce qui est analysé dans votre environnement. Cet écran vous donne aussi la liste des Management Packs qui doivent être mis à jour.
• L'agent SCOM peut s'exécuter sur Nano Server. Il est possible de superviser IIS et DNS. La console permet de découvrir des serveurs Nano et de pousser l’agent.
• Supervision des systèmes OpenSource (Apache, MySQL)
• Supervision de la stack LAMP
• Amélioration des performances de la supervision réseaux
• Mise à jour des Management Packs pour Windows Server 2016
• Extension d’Operations Manager avec Operations Management Suite (OMS) pour permettre l’évaluation des configurations, de gestion des alertes, et de planification de la capacité.

Service Manager

• Amélioration des performances avec une augmentation par 4 et une meilleure utilisation. Ceci passe par un traitement amélioré des entités. Microsoft a testé un usage avec 400 connexions client simultanée (200 par Management Servers), 45 workitems par minute, 42 queue, la synchronisation de 100 000 utilisateurs via Active Directory.
• les cubes contiennent de nouvelles dimensions de date qui permettent de créer des rapports riches basée sur l’année, le trimestre, le mois, le jour, etc.
• Mise à jour du portail en libre-service.
• Amélioration du calcul de groupe afin de gérer les CIs et les queues.
• Support de Lync 2013 et Skype for Business
• Nouveau portail en libre-service (HTML5)
• Amélioration des performances :
  • Vous pouvez désactiver la journalisation ECL pour une synchronisation plus rapide du connecteur SCCM et Active Directory
  • Amélioration du grooming pour les logs ECL
  • Réduction des latences sur le workflow d’incident
  • Intégration du workflow ADGroupExpansion dans le connecteur AD
• Changement de l’installeur pour supporter l’installation sur un cluster SQL Server AlwaysON
• Support du .NET Framework 4.5.1
• Service Manager ne permet pas aux utilisateurs d’enregistrer toutes les modifications dans un formulaire, et l'utilisateur reçoit le message d'erreur suivant.
• Le job MPSync est amélioré pour être plus fiable. Auparavant, Service Manager pouvait cesser de répondre lorsque vous mettiez à jour un pack d'administration ou si vous réenregistriez l'entrepôt de données. Cela a aboutissait à des rapports avec des données qui n’étaient rafraîchies. Même si vous vérifiez la console de Service Manager, les jobs énumérés sous Data warehouse ne renvoyaient pas l'état correct.
• Lors de l'exécution du connecteur Active Directory, la console peut rencontrer une baisse significative des performances parce que le connecteur Active Directory effectue une synchronisation complète après chaque basculement de contrôleur de domaine. Cette mise à jour installée, le connecteur Active Directory doit synchroniser uniquement les éléments qui ont été modifiés après une synchronisation antérieure, y compris après un basculement sur incident du contrôleur de domaine.
• Amélioration des performances avec les connecteurs Active Directory (35%) et System Center Configuration Manager (50%)
• Programmation de la synchronisation du connecteur Active Directory

Service Management Automation

• Support des scripts PowerShell en plus des Workflows PowerShell
• Composant additionnel Service Management Automation pour PowerShell ISE.
• Choix du Runbook Worker utilisé pour exécuter le runbook.
• Support de PowerShell 5.0.

Virtual Machine Manager

• Gestion complète du cycle de vie des hôtes et machines virtuelles Nano Server
• Configuration d’une machine physique comme un cluster d’hôte Hyper-V en une étape au lieu de deux.
• Augmentation/Diminution de la mémoire et ajout/retrait des cartes réseaux virtuelles à chaud.
• Prise d’un checkpoint de production.
• Conversion d’une machine virtuelle non protégée en machine virtuelle protégée (Shielded VMs)
• Capacités d’administration pour des hôtes gardés et des machines virtuelles protégées (VM blindé/shielded VMs) pour aider à fournir une protection contre les administrateurs d'accueil malveillants et les logiciels malveillants.
• Fonctionnalité d’ajout d’un abonnement Azure : Cette fonctionnalité a été introduite dans l’Update Rollup 6 de System Center 2012 R2.
• Nommage consistent des cartes réseaux virtuelles comme vu par le système d’exploitation invité.
• Méthode fiable et simplifiée pour appliquer des paramétrages réseau consistants à travers les hôtes
• QoS pour le stockage
• Support des storage tiers
• Support de Storage Spaces Direct (avec Windows Server 2016 TP)

Plus globalement, c'est aussi l'amélioration du support de Linux avec Desired State Configuration (DSC), SSH, la supervision de la stack LAMP

Lire le livre blanc sur les nouveautés

Voir la Release Note et les problèmes connus

Télécharger :

• System Center 2016 (ISO)
• System Center 2016 Service Manager – Evaluation (VHD)
• System Center 2016 Operations Manager – Evaluation (VHD)
• System Center 2016 Orchestrator – Evaluation (VHD)
• System Center 2016 Data Protection Manager – Evaluation (VHD)
• System Center 2016 Virtual Machine Manager – Evaluation (VHD)

Chris Jackson (MSFT) a publié un très bon billet sur la stratégie de compatibilité des applications pour Windows 10. L’article aborde la problématique globalement à la fois pour la migration vers Windows 10 mais aussi pour le support du nouveau cycle de vie Windows as a Service. On retrouve ainsi différentes stratégies :

• Gérer les transitions à risque élevé avec l’approche : Collecte -> Analyse et Rationalisation -> Test et Remédiation. Cette approche a été celle adoptée pour la majorité des migrations vers Windows XP, Windows 7 ou Windows 8.
• Gérer les transitions à faible risque proposant l’approche : Déploiement à l’équipe, à l’étage, au bâtiment, à la ville, au pays, à l’ensemble de l’organisation.

L’article revient aussi sur l’évaluation les applications dont le risque est bien souvent surévalué par les entreprises. Ce risque doit être couplé avec l’approche du testing (Regression, smoke, Automated, Pilot, Reactive). Enfin, un dernier principe revient à grouper les applications par risque via des critères comme les applications ayant été développées par le même éditeur ou la même équipe. Le but est ensuite de mettre en place une série de tests qui peut être écourté si les premières applications sont compatibles.

On retrouve des retours d’expérience sur les bonnes pratiques :

• La mise en œuvre d’une équipe de test centralisée plutôt que laisser chaque équipe tester les applications
• Le test basé sur des scénarios
• L’utilisation de machines virtuelles pour diminuer le temps de test, retirer les variables liées au matériel, etc.

L’article revient sur les grands enjeux des migrations (UAC, 64-bits, etc.) et le pari souvent perdant que cela représente de ne pas prendre en compte ces aspects. Enfin, il donne des éléments sur le support de Windows as a Service qui doit aborder une transition à faible risque.

Je vous invite à lire l’article : https://blogs.msdn.microsoft.com/cjacks/2016/09/12/windows-10-app-compat-strategy/

Microsoft vient de publier le Service Pack 1 de Microsoft Identity Manager 2016 (anciennement FIM). MIM prendra part à l’offre Azure Active Directory Premium (AADP). La version est disponible pour les abonnés MSDN/Technet. Pour rappel, ce produit permet d’automatiser des tâches clés comme :

• Le provisionnement et la synchronisation des identités à travers des annuaires et systèmes hétérogènes
• Implémenter des workflows IAM
• La gestion du cycle de vie des certificats et smartcards
• La gestion des accès basés sur des rôles
• Les tâches en libre-service (réinitialisation de mots de passe, gestion des groupes…)

Parmi les nouveautés, on retrouve :

• Support des navigateurs alternatifs : Chrome, Firefox et Safari. Ceci s’applique au portail de mot de passe mais aussi au portail MIM
• Support d’Exchange Online pour les approbations de traffic.
• Script d’installation PowerShell pour la fonctionnalité Privileged Account Management (PAM)
• L’administration Just-In-Time s’applique aux domaines à privilèges.
• Support de Windows Server 2016 et SQL Server 2016
• Les comptes de service MIM peuvent être configurés pour faire partie des stratégies d’authentification.

Plus d’informations sur : http://www.microsoft.com/en-us/server-cloud/products/microsoft-identity-manager/

Source : https://blogs.technet.microsoft.com/enterprisemobility/2016/10/06/microsoft-identity-manager-2016-service-pack-1-is-now-ga/