La fin de support de Windows 7 est attendu pour le 14 Janvier 2020, certaines entreprises vont faire le choix d’acheter les mises à jour de sécurité étendues (Extended Security Updates). Les mises à jour de sécurité publiées dans le cadre du programme ESU seront publiées dans Windows Server Update Services (WSUS).

Toutes les mises à jour de sécurité étendues seront visibles par tous les serveurs WSUS mais ne deviendront applicables que pour les machines qui répondent à ce prérequis :

• Ont installé les mises à jour suivantes : KB4516033 et KB4516048
• Ont activé la clé MAK correspondante aux mises à jour de sécurité étendues.

Mais quand est-il de System Center Configuration Manager ? Normalement, System Center Configuration Manager suit les règles de support des systèmes et ne fournira plus de support Windows 7 et Windows Server 2008 & 2008 R2.

Néanmoins pour répondre à ce besoin spécifique, Microsoft va assurer le support de ces systèmes mais uniquement avec la dernière version System Center Configuration Manager (Current Branch). Ce support sera assuré uniquement pour les mises à jour logicielles et le déploiement de système d’exploitation (pour vous permettre éventuellement de migrer). Les autres fonctionnalités ne seront pas officiellement supportées et Microsoft n’adressera pas les éventuels problèmes.

Microsoft assure le support d’Office 365 ProPlus sur les machines Windows 7 en mode ESU jusqu’en Janvier 2023. Les mises à jour de sécurité mensuelles pourront être déployées avec ConfigMgr néanmoins les mises à jour de fonctionnalités ne pourront être déployées car non supportées.

System Center Configuration Manager 2007 ou 2012 ne pourront pas être utilisés pour déployer ces mises à jour spécifiques.

Plus d’informations sur :

• Extended Security Updates and Configuration Manager
• How to get Extended Security Updates for eligible Windows devices

Voici le document officiel

Microsoft vient d’annoncer qu’il allait retirer le support de la console Microsoft Intune en Silverlight (l’ancienne version) à partir du 15 octobre 2020. Vous n’utilisiez déjà surement plus cette console puisqu’elle est aujourd’hui indiquée pour la gestion des PCs Windows (et notamment Windows 7) avec l’ancien agent Intune. Toutes les autres fonctionnalités ont été déplacées vers le portail Microsoft Azure ou Device Management Console.

Les clients impliqués ont été prévu par le centre de messages du portail Office.

Pour vos machines qui sont encore gérées avec l’agent Intune, vous devez :

• Les migrer vers Windows 10
• Les enregistrer dans Microsoft Intune avec la gestion de périphérique moderne (MDM)
• Déployer les stratégies adéquates

Source : https://techcommunity.microsoft.com/t5/Intune-Customer-Success/Take-Action-Microsoft-Intune-ending-support-for-the-Silverlight/ba-p/916249

Annoncé il y a quelques semaines, Microsoft Intune permet maintenant l’envoi de notifications personnalisées sur les périphériques iOS et Android. Microsoft a posté un message d’incident IT192763 dans le centre de messages du portail Office pour cette fonctionnalité et pour les entreprises touchées. Le problème est survenu à cause d’une panne d’Azure Notification Hub et les utilisateurs finaux nouvellement enregistrés dans Intune peuvent avoir besoin d'ouvrir leur application Portail d'entreprise pour la resynchroniser afin de pouvoir voir les notifications personnalisées. Toutes les autres fonctions fonctionnent comme prévu.

Le problème concerne surtout les utilisateurs iOS qui doivent rouvrir le portail d’entreprise pour résoudre le problème. Sur Android, le problème a dû se corriger de lui-même lors de la synchronisation suivante.

Qui mieux que Michael Niehaus (MSFT) peut vous guider pour dépanner Windows Autopilot après les nombreuses heures qu’il a pu passer sur la technologie ? Il propose aujourd’hui un billet vers lequel je vous invite à passer du temps pour comprendre la méthodologie qu’il utilise en cas de problème et comment dépanner Windows AutoPilot.

Il revient sur :

• L’outil de rassembler des informations de diagnostic : MDMDiagnosticsTool.exe
• Les différents fichiers de journalisation
• Les différents fichiers JSON, etc.

Bref c’est une mine d’informations que je vous invite à consulter : Troubleshooting Windows Autopilot, a reference

En mettant en œuvre la gestion de BitLocker sur Windows 10 via Microsoft Intune chez un de mes clients, j’ai constaté un problème où les machines renvoyaient indéfiniment de nouvelles clés de restauration pour la partition système.

Ce problème survient si vous avez configuré une stratégie Endpoint Protection en activant des paramétrages pour le chiffrement de Windows (Windows Encryption). Vous avez par exemple configuré les options suivantes :

• Encrypt Devices pour activer le chiffrement BitLocker sur les machines cibles

• L’option Additional authentication at startup est à Require et permet de configurer les modes de validation BitLocker (TPM, TPM+PIN, TPM+Dongle, TPM+PIN+Dongle)..
• Vous avez configuré l’une des options :
  • Compatible TPM startup permet de définir si la puce TPM est autorisé, requise ou non autorisé pour le chiffrement.
  • L’option Compatible TPM startup PIN permet d’ajouter l’usage (autorisé, requis ou non) d’un code PIN de démarrage avec la puce TPM. Cette action requiert l’action de l’utilisateur pour la configuration.
  • L’option Compatible TPM startup key permet d’ajouter l’usage (autorisé, requis ou non) d’un dongle de démarrage avec la puce TPM. Cette action requiert l’action de l’utilisateur pour la configuration.
  • L’option Compatible TPM startup key and PIN permet d’ajouter l’usage (autorisé, requis ou non) à la fois d’un dongle et d’un code PIN de démarrage avec la puce TPM. Cette action requiert l’action de l’utilisateur pour la configuration.

Plus globalement le problème survient dès lors que vous avez activer le chiffrement BitLocker avec Microsoft Intune.

Sur les machines concernées, vous pouvez ouvrir l’observateur d’événements et naviguez dans Applications and Services Log – Microsoft – Windows – BitLocker-API. Les erreurs ont lieu de manière récurrente enchainant des événements 846, 785, 778, et 851.

Failed to enable Silent Encryption.
Error: The specified domain either does not exist or could not be contacted.

The BitLocker volume C: was reverted to an unprotected state.

Nous constatons que la machine tente un chiffrement en boucle avec les événements 796, 775 845, 817, 840, 780.

Dans le portail Microsoft Intune, vous pouvez constater l’apparition d’un grand nombre de clés de restauration pour la même machine :

Après quelques minutes, nous décidons simplement de mettre à jour le BIOS de la machine qui semblait relativement ancien. Ceci a résolu le problème de chiffrement en boucle en réalisant l’opération avec succès.

Arnab Mitra (PFE MSFT) a publié un billet assez intéressant pour donner une solution permettant de capturer/collecter les journaux/logs du client System Center Configuration Manager à distance. La solution détaillée est intéressante dans plusieurs scénarios :

• L’utilisateur qui doit accéder aux journaux n’a pas les droits d’administration permettant d’accéder à la machine distante
• Des contraintes de sécurité forte empêche l’accès à la machine (blocage des partages administratifs, segmentation réseau, etc.)
• Le périphérique n’est pas sur le réseau

La solution qu’il propose revient à utiliser :

• La fonction Run Scripts pour exécuter un script PowerShell (version 3.0+)
• System Center Configuration Manager 1706
• Potentiellement Azure File Share pour stocker les journaux

Plus d’informations sur son billet : Remotely capture ConfigMgr client logs for Troubleshooting

Microsoft vient de mettre à disposition la Technical Preview 1910 (5.0.8899.1000) de System Center Configuration Manager. Pour rappel, ConfigMgr a subi une refonte de sa structure pour permettre des mises à jour aisées de la même façon que l’on peut le voir avec Windows 10. Si vous souhaitez installer cette Technical Preview, vous devez installer la Technical Preview 1804 puis utiliser la fonctionnalité Updates and Servicing (nom de code Easy Setup).

System Center Configuration Manager TP 1910 comprend les nouveautés suivantes :

Administration

• Vous pouvez nettoyer le verrou de n’importe quel objet bloqué par le mécanisme SEDO (Serialized Editing of Distributed Objects) dans la console d’administration. Ce scénario peut arriver fréquemment si une console qui éditait un objet (package, etc.) a crashé inopinément. Ainsi le verrouillage est gardé pour une durée de 30 minutes.
  Cette nouveauté ne s'applique qu'au compte utilisateur qui a créé le verrouillage, et sur le même périphérique à partir duquel le site a accordé le verrou. Lorsque vous tentez d'accéder à un objet verrouillé, vous pouvez maintenant Annuler les modifications et continuer à modifier l'objet. Ces changements seraient de toute façon perdus à l'expiration du verrou.

• Vous pouvez attacher des fichiers de journalisation ou de diagnostic lorsque vous envoyez des commentaires à Microsoft via la console d’administration. Ces renseignements supplémentaires peuvent aider Microsoft à déterminer plus rapidement la cause du problème. Les fichiers inclus avec le feedback sont transmis et stockés à l'aide de Microsoft Error Reporting.
• L’administrateur peut activer la journalisation verbeuse globale d’un client Configuration Manager directement depuis la console d’administration en cliquant droit sur le périphérique en question.

• Amélioration du support de Windows Virtual Desktop pour permettre la récupération des stratégies utilisateurs dans des scénarios multisessions avec le paramètre : Enable user policy for multiple user sessions.

• Amélioration de la recherche dans la console d’administration avec notamment :
  • La possibilité d’utiliser l’option Tous les sous dossiers (All Subfolders) à partir des nœuds Queries et Driver Packages.
  • Lorsqu’un résultat de recherche comprend plus de 1000 résultats, vous pouvez cliquer sur OK dans la barre d’information pour les afficher.

 Office 365

• Microsoft propose un nouveau tableau de bord Office 365 ProPlus Pilot and Health Dashboard permettant aux administrateurs de créer des collections de pilote pour commencer le déploiement d’Office 365 ProPlus.

Déploiement d’applications

• Les groupes d’applications introduit dans Configuration Manager 1906 sont améliorés afin de permettre :
  • A l’utilisateur de désinstaller un groupe d’application dans le centre logiciels
  • A l’administrateur de déployer un groupe d’applications sur une collection d’utilisateurs.

Gestion de la configuration et des paramétrages

• Vous pouvez déployer Microsoft Edge (Chromium) en version 77 ou ultérieure. L’assistant vous permet de choisir entre le canal Bêta ou Dev. PowerShell est ensuite utilisé pour réaliser le déploiement.

• Vous pouvez ajouter l’évaluation d’une baseline de configuration aux stratégies de conformité via les options Evaluate this baseline as part of compliance policy assessment sur la baseline et Include configured baselines in compliance policy assessment sur les règles de stratégies de conformité.

Déploiement de système d’exploitation

• Une nouvelle variable de séquence de tâches SetupCompletePause dédié au scénario de mise à niveau de Windows 10, permet d’assigner une valeur en seconde afin que le processus d'installation de Windows retarde ce laps de temps avant de démarrer la séquence de tâches. Ce délai d'attente donne au client Configuration Manager un délai supplémentaire pour l'initialisation. Ceci a été créé pour donner suite à des remontées de problème avec les périphériques très/trop rapides. La valeur spécifique du délai d'attente varie en fonction du matériel.

Plus d’informations sur : https://docs.microsoft.com/en-us/sccm/core/get-started/2019/technical-preview-1910

Je vous partage un article de David Loder (PFE Microsoft) qui aborde les mécanismes de haute disponibilité et de résilience pour Azure AD Connect.  Son article très constructif aborde notamment les points suivants :

• L’état de synchronisation via l’agent Health
• L’utilisation d’un Staging Server pour éventuellement basculer en cas de problème
• La gestion des mises à niveau.

Je vous laisse lire son billet : Azure Active Directory Connect Resilient Operations

C’est un besoin identifié depuis quelques mois par Microsoft, Office 365 ProPlus supporte maintenant (en Preview) la technologie d’échange P2P moderne Delivery Optimization de Windows 10. Ce support couvre les scénarios suivants :

• Installation du client Office 365 ProPlus
• Mise à jour du client Office 365 ProPlus

Ceci permet grandement d’améliorer les scénarios de gestion moderne avec Microsoft Intune et ainsi réduire l’usage de la bande passante. La fonctionnalité ne sera pas utilisée si vous utilisez System Center Configuration Manager ou les partages réseaux.

Afin d’utiliser Delivery Optimization avec Office 365 ProPlus, vous devez remplir les prérequis suivants :

• Utiliser Windows 10 1709
• Utiliser Office 365 ProPlus 1808 pour le support des mises à jour
• Utiliser Office 365 ProPlus 1908 pour le support de l’installation du client ou pour les mises à jour initiée par l’utilisateur.
• Vous devez configurer pour installer et recevoir les mises à jour directement depuis l’Office Content Delivery Network (CDN)
• Vous devez aussi configurer Office pour fonctionner avec Delivery Optimization en configurant la clé de registre suivante :
  • Clé : HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\office\16.0\common\officeupdate
  • Nom de la valeur: SetDOAsPrimary
  • Valeur : 1 (DWORD)

Note : la clé doit être créé avant l’installation du client si vous souhaitez bénéficier de Delivery Optimization. Cette clé n’est nécessaire que pendant la phase de Preview. Vous pouvez suivre les indications de Michael Niehaus pour créer la clé via Microsoft Intune : Use Intune to enable Delivery Optimization for Office 365 installs

Plus d’information sur : Delivery Optimization and Office 365 ProPlus

Microsoft vient de mettre à jour (Septembre 2019) les baselines de paramétrages de sécurité pour Windows 10 1903 (19H1) et Windows Server 1903. On y retrouve les nouveaux paramétrages de cette nouvelle Build. Ces dernières s’utilisent avec Security Compliance Toolkit (SCT). Les lignes de base permettent de vérifier la conformité d’une application vis-à-vis des bonnes pratiques et recommandations Microsoft.

Voici les différences avec la version finale de la baseline pour Windows 10 1903 :

• Microsoft a supprimé le paramètre de configuration de l'ordinateur, "Enable svchost.exe mitigation options" (dans System\Service Control Manager Settings\Security Settings) en raison des rapports selon lesquels son implantation actuelle cause plus de problèmes de compatibilité que prévu.
• Microsoft a aussi ajusté quelques paramètres d'audit dans la ligne de base du contrôleur de domaine afin de les aligner plus étroitement sur les recommandations du document de référence sur l'audit de sécurité et la surveillance de Windows 10 et Windows Server 2016

• Microsoft a aussi ajotué un script Baseline-ADImport.ps1 pour importer toutes les GPOs dans les stratégies de groupe Active Directory.

Pour rappel, voici les changements qui avaient été introduit précédemment.

Plus d’informations sur l’article suivant : https://techcommunity.microsoft.com/t5/Microsoft-Security-Baselines/Security-baseline-Sept2019Update-for-Windows-10-v1903-and/ba-p/890940

Télécharger Microsoft Security Compliance Toolkit 1.0

Michael Niehaus (MSFT) a publié un script permettant d’interpréter facilement le contenu d’un fichier JSON correspondant à un profil Windows Autopilot. Le script extrait les éléments suivants :

• Nom du profil
• Type de profil
• Tenant Azure AD (Nom, Identifiant)
• Identifiant Azure AD du périphérique
• Identifiant Autopilot du périphérique
• Identifiant MDM
• La configuration des différentes phases (Skip Keyboard, Skip EULA, etc.)
• La langue
• La région
• Le modèle de nom de périphérique

Télécharger Convert-WindowsAutopilotProfile

Source : https://oofhours.com/2019/10/13/interpreting-the-windows-autopilot-profile/

Microsoft vient d’annoncer la mise à disposition d’un nouvel ensemble de fonctionnalités pour Microsoft Intune.

Les fonctionnalités suivantes sont ajoutées :

Enregistrement des périphériques

• [Android Enterprise] La version du système d’exploitation peut être utilisée pour restreindre l’enregistrement des périphériques en fonction de la méthode d’enregistrement Android Enterprise (Work Profile, Device Owner, etc.).

• [Windows 10] Un nouveau affiche tous les périphériques déployés avec Windows Autopilot.

Gestion du périphérique

• [Windows 10] Vous pouvez éditer le nom du périphérique pour les périphériques joints à Azure Active Directory.
• [Windows 10] Vous pouvez éditer la valeur Group Tag pour les périphériques Autopilot.
• [Windows 10] Nouvelles restrictions pour renommer les périphériques Windows devant répondre aux exigences :
  • 15 caractères ou moins (doit être inférieur ou égal à 63 octets, sans compter NULL)
  • Ne doit pas être nul ou une chaîne vide
  • ASCII autorisé : lettres (a-z, A-Z), chiffres (0-9) et tirets.
  • Unicode autorisé : caractères >= 0x80, doit être valide UTF8, doit être mappable IDN (RtlIdnToNameprepUnicode réussi ; voir RFC 3492)
  • Les noms ne doivent pas contenir uniquement des chiffres
  • Aucun espace dans le nom
  • Caractères interdits : { | } ~ [ \ ] ^ ' : ; < = > ? & @ ! " # $ % ` ( ) + / , . _ *)
• [Android] Un nouveau rapport sur la page d’aperçu de périphérique permet d’afficher combien de périphériques Android ont été enregistrés avec telle ou telle solution de gestion Android.

Configuration du périphérique

• [Général] Arrivée des ensembles de stratégies (Policy Sets) permettant de rassembler un ensemble de stratégies (applications, configuration, etc.) qui sont déployés ensembles sous la forme d’un bundle. Vous pouvez toujours créer des stratégies individuelles mais cette fonctionnalité permet de créer des configurations basées sur des profils ou des usages. Parmi les éléments configurables, on retrouve :
  • Sur la gestion des applications : Les applications, les stratégies de configuration d’applications, les stratégies de protection d’application
  • Sur la gestion du périphérique : Les profils de configuration de périphériques, les stratégies de conformité de périphérique
  • Sur l’enregistrement de périphérique : Les restrictions de type de périphérique, les profils de déploiement Windows Autopilot, les stratégies d’Enrollment Status Page

• [Windows 10] Mise à jour de l’interface graphique de création/édition des anneaux de déploiement (Update Rings) de Windows 10. Ces interfaces sont maintenant déclinées sous la forme d’assistant.

• [Windows 10] J’en avais déjà parlé, Microsoft retire le paramétrage Engaged Restart de l’interface pour le remplacer par le paramétrage date butoir (deadlines)
• [iOS] Mise à jour de l’interface graphique de création/édition des stratégies de mise à jour logicielles pour iOS. Ces interfaces sont maintenant déclinées sous la forme d’assistant.
• [iOS/iPadOS] Nouveau paramétrage de configuration pour restreindre les fonctionnalités et paramétrages dans iOS 13+ et iPadOS 13+  afin de contrôler :
  • L’accès aux partage réseau dans l’application Fichiers
  • L’accès aux périphériques USB dans l’application Fichiers
  • L’activation forcée du Wi-Fi

• [Android/Android Enterprise] Retrait du paramétrage de connexion automatique du WiFi des profils WiFi pour Android Legacy (Device Admin) et Android Enterprise. Ce paramétrage n’est pas supporté par Android et n’a jamais fonctionné.
• [Android Enterprise] Le paramétrage Prevent app installations from unknown sources in the personal profile permet d’empêcher l’installation d’applications à partir de sources inconnues sur les périphériques Android Enterprise Work Profile.

• [Android Enterprise] Vous pouvez créer des paramétrages proxy HTTP globaux pour les périphériques Android Enterprise Device Owner (COBO) redirigeant tout le trafic http vers le proxy spécifié. Vous pouvez le créer en naviguant dans Device configuration > Profiles > Create profile > Android Enterprise comme plateforme > Device owner > Device restrictions pour type de profile > Connectivity

Gestion des applications

• [Général] Microsoft intune fournit maintenant des scénarios guidés permettant de réaliser un ensemble de tâches via un workflow unique centré sur une case d’usage. On retrouve par exemple :
  • Déployer Microsoft Edge pour les Mobiles
  • Securiser les applications mobiles Microsoft Office
  • Postes de travail moderne gérés par le Cloud

• [Android/iOS] La variable AAD Device ID est disponible pour créer des stratégies de configuration d’applications.
• [Android Enterprise] Il est maintenant possible de voir l’état d’installation et la version des applications Google Play Gérée déployées en libre-service sur les périphériques Android Enterprise Work Profile, Dedicated et Fully Managed.
• [Windows 10/macOS] Public Preview de la capacité de déployer Microsoft Edge (Chromium) en version 77+ sur Windows 10 (canaux Dev et Beta) et macOS (canal Beta). Le déploiement n’est disponible que pour la version anglaise uniquement néanmoins, l’utilisateur peut changer la langue dans les paramétrages du navigateur. L’installation se fait en activant les mises à jour automatique et en empêchant de désinstaller le navigateur.

• [iOS] Mise à jour des interfaces graphiques de création/édition des stratégies de protection applicatives et pour les profils de provisionnement d’applications iOS. Ces interfaces sont maintenant déclinées sous la forme d’assistant.

Sécurité du périphérique

• [macOS] Vous pouvez déployer et utiliser des certificats PKCS sur les utilisateurs et les périphériques macOS qui ont des champs nom sujet et nom de sujet alternatif personnalisés. Le certificat PCKS pour macOS prend en charge le nouveau paramètre Allow All Apps Access afin d’activer l'accès de toutes les applications associées à la clé privée du certificat.

• [iOS] Intune supporte l’utilisation d’identifiants dérivés (Derived Credentials) comme méthode d’authentification et solution de chiffrement S/MIME pour les périphériques iOS. Derived Credentials sont une implémentation du standard NIST pour authentifier les utilisateurs comme avec des SmartCards et déployer un certificat d'authentification. Les Derived Credentials peuvent être utilisés pour s’authentifier aux VPNs, WiFi, et Email. Microsoft Intune supporte les fournisseurs suivants : DISA Purebred, Entrust Datacard, Intercede. Comme les périphériques mobiles n'ont pas de lecteur SmartCard, les utilisateurs s'authentifient à l'aide du lecteur de carte à puce d'un appareil fiable qui relie l'authentification à leur appareil mobile.  Un certificat numérique est alors délivré à l'appareil mobile. Afin de faciliter l'expérience utilisateur pour les utilisateurs finaux, le flux d'inscription des justificatifs d'identité dérivés est intégré dans l'application Intune Company Portal, qui est l'application utilisée pour l'inscription du périphérique avec Intune.
  
  
  Traduit avec www.DeepL.com/Translator

Autre

• [Général] Vous pouvez utiliser Graph API pour spécifier onPremisesUserPrincipalName comme variable SAN pour les certificats SCEP.

Plus d’informations sur : https://docs.microsoft.com/en-us/intune/whats-new

Microsoft vient d’annoncer la Disponibilité Générale de son service Cloud : Desktop Analytics. Desktop Analytics est le remplaçant de Windows Analytics (voir la suite du billet). Ce service va devenir la pierre angulaire du poste de travail moderne afin d’offrir de nombreux outils d’analyse :

• Inventaire des applications de l’entreprise.
• Evaluation de la compatibilité des machines (matériels, logiciels, drivers, etc.) avec les dernières versions de Windows
• Rationalisation des applications, de la priorité et de la compatibilité associée en fonction de la télémétrie.
• Suivi des mises à niveau de fonctionnalités (Builds Windows 10 et Office 365)
• Suivi des mises à jour de Windows 10 et Office 365
• Suivi de la fiabilité (Crash, problèmes de compatibilités, etc.)
• Suivi des performances (temps de démarrage, temps d’application des GPOs, etc.)
• Automatisation de certaines tâches et de la création de vagues de déploiement (Pilote, etc.)

Ce service est proposé aux clients qui ont souscrit à :

• Windows 10 Enterprise E3 ou E5 (inclus dans Microsoft 365 F1, E3, ou E5)
• Windows 10 Education A3 ou A5 (inclus dans Microsoft 365 A3 ou A5)
• Windows Virtual Desktop Access E3 ou E5.

Pour l’instant, l’intégration ne se fait qu’avec System Center Configuration Manager (1902 ou ultérieure) mais Microsoft planifie l’intégration avec Microsoft Intune dans les prochains mois.

Quand est-il de Windows Analytics ?

Windows Analytics comprend Upgrade Readiness, Update Compliance et Device Health.
Microsoft planifie le retrait de Windows Analytics pour le 31 janvier 2020 :

• Il ne sera plus possible de créer de nouveaux tenant avec les solutions Upgrade Readiness et Device Health.
• La solution Update Compliance restera disponible dans le portail Azure.

Une option pour migrer les données de Windows Analytics Upgrade Readiness (Device Health n’est pas concerné) vers Desktop Analytics est disponible. Elle permet de reprendre les données d’importance, et de propriétaire de l’application.

Tester Desktop Analytics

Microsoft vient de finaliser la version 1.2019.926.0 de son outil de packaging (MSIX Packing Tool). Cet outil permet de prendre un package d’application Win32 existant et de la convertir au format MSIX. Vous utilisez pour cela une machine de référence pour exécuter l’outil et obtenir le package MSIX que vous pouvez ensuite déployer à la main, par votre outil de télédistribution ou depuis le Microsoft Store.

Pour rappel, le format MSIX est un nouveau format standardisé lancé par Microsoft pour remplacer l’ensemble des formats de packaging existants tout en bénéficiant des avancés des différentes solutions : Click-To-Run (C2R), App-V, APPX et plus généralement du Framework d’applications universelles (UWP). Il offre donc des mécanismes de conteneurisation et les bénéfices des applications universelles avec une installation, mise à jour et désinstallation aisée sans laisser aucune trace sur le système. Il fournit aussi des mécanismes de sécurisation avancés permettant de valider l’intégrité du code exécuté. Ce format permet aussi de créer des personnalisations pour les applications packagées et de les faire perdurer au travers des différentes mises à jour de l’application.

Cette version apporte les éléments suivants :

• Elle permet aux entreprises d’utiliser le service de signature Device Guard pour signer leurs packages avec leur tenant Azure AD.
• Microsoft a mis à jour le workflow de packaging
• Ajout de l’option d’édition au niveau du clique droit pour lancer l’éditeur de package.

Pour accéder à l’outil, vous devez :

• Participer au programme Windows Insider Fast ou Slow Ring
• Avoir Windows 10 17701 ou plus
• Avoir les droits d’administrateur sur la machine
• Avoir un compte Microsoft pour accéder au Microsoft Store.

Plus d'éléments sur le format MSIX sur MSIX Intro

Télécharger MSIX Packing Tool

Le support Microsoft Intune a publié deux très bons billets permettant de détailler la procédure à mettre en œuvre pour permettre la configuration de la synchronisation des contacts Outlook sur iOS avec Microsoft Intune. La procédure est légèrement différente entre iOS 11.3 et 12.1. Vous pouvez suivre les recommandations sur ces deux articles :

• Support Tip: iOS 11.3 and Native Contacts App
• Support Tip: Enabling Outlook iOS Contact Sync with iOS12 MDM Controls

Microsoft fait appel à vous pour améliorer la qualité des traductions utilisées dans System Center Configuration Manager 1906. Le produit est traduit dans 18 langues pour l’interface d’administration et 22 pour l’interface cliente. A chaque version de ConfigMgr, Microsoft ajoute ou met à jour des chaines de caractères qui doivent être traduites.

Le but est donc d’aider Microsoft à la revue de ces chaines de caractères. Si vous êtes intéressés, vous pouvez :

1. Télécharger les fichiers CAB de revue des interfaces localisées de CM1906 et dézippez les fichiers.
2. Choisissez les PDFs qui correspondent aux langues que vous voulez revoir.
3. Lisez les screenshots et les changements d’interfaces
4. Envoyez des retours en fonction de votre revue
5. Dans la description, vous devez inclure :
   1. Le nom du PDF que vous avez revue
   2. L’identifiant de l’objet dans l’interface
   3. La description du retour que vous faites.
   4. Votre commentaire ou votre proposition pour remplacer la chaine.

Plus d’informations sur : Lost in translation – 1906 edition

Avec Azure RMS, Microsoft proposait un portail de suivi (tracking) des documents. Ce portail n’est plus disponible avec Azure Information Protection. Après des échanges avec des clients, le portail précédent ne répondait jamais exactement aux besoins des clients (volonté de cacher la localisation d’ouverture, capacité de filtre, etc.). Le portail nécessité aussi que les utilisateurs enregistrent manuellement chaque document qu’ils souhaitaient suivre.

Il n’est est pas moins possible de créer le portail qui correspond à vos besoins ! Pour cela, l’équipe AIP a publié un article intéressant sur le sujet avec un exemple de code source à utiliser.

Plus d’informations sur : How to Build a Custom AIP Tracking Portal

Depuis le 17 Octobre, les utilisateurs de Windows 7 Professionnel qui ont installé la KB4524752 commencent à voir des notifications pour signaler la fin de support du système d’exploitation. Ces notifications ne concernent que les machines qui ne sont pas jointes à un domaine Active Directory.

Outre cette restriction, le système de notifications vérifie que les clés de registre suivante n’existent pas :

Clé: HKLM\Software\Policies\Microsoft\Windows\Gwx avec Valeur DWORD DisableGwx = 1

Clé: HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate avec Valeur DWORD: DisableOSUpgrade = 1

La notification permet à l’utilisateur :

• D’en apprendre plus sur cette fin de support
• Fermer la fenêtre avec la croix et dans ce cas des rappels seront affichés
• Cliquer sur Ne plus me le rappeler et fermer la fenêtre pour ne plus voir ces notifications.

Aujourd’hui en travaillant sur des enjeux de chiffrement avec BitLocker chez un client, nous avons tenté de mettre à jour la puce TPM Infineon d’un modèle HP. En exécutant l’outil TPMConfig.exe (HP TPM Configuration Utility), nous obtenons la fenêtre blanche suivante :

Le résultat était le même si nous essayons d’exécuter l’outil en ligne de commande avec certains paramètres.

Le fichier de journalisation associé à l’outil renvoie les messages suivants :

<DATE>|00001E94|Information|CTpmUpdateApp::InitializeProperties|******************************************************************

<DATE>|00001E94|Information|CTpmUpdateApp::InitializeProperties|**   Start of HP TPM FW Update session, version 2.0.3.1    **

<DATE>|00001E94|Information|CTpmUpdateApp::InitializeProperties|******************************************************************

<DATE>|00001E94|Information|CTpmUpdateApp::InitializeProperties|Command line:

<DATE>|00001E94|Information|TpmUpdate::SmbiosInfo::GetSmbiosInfo|Getting SMBIOS information

<DATE>|00001E94|Information|TpmUpdate::PrivateWmiInfo::GetPrivateWmiSettings|m_isGondorBIOS = 1, m_isEspDriveSupported = 1

<DATE>||00001E94|Information|TpmUpdate::PrivateWmiInfo::GetPrivateWmiSettings|, m_isGondorBIOS = 1

<DATE>|00001E94|Information|CTpmUpdateApp::ShowError|

<DATE>|00001E94|Information|CTpmUpdateApp::ExitInstance|HPTPMFWUpdate Return Code = 306

<DATE>|00001E94|Information|CTpmUpdateApp::ExitInstance|******************   End of HP TPM FW Update session    ******************

Après investigation, il s’avère qu’il faille désactiver la virtualisation (Virtualization Technology (VTx) dans le BIOS/UEFI de la machine.

Ceci permet de lancer l’outil de faire la mise à jour de la puce TPM.

Vous pouvez ensuite réactiver la virtualisation (Virtualization Technology (VTx) dans le BIOS/UEFI de la machine.

Microsoft a mis à jour (en version 1.6.0.42) l’outil SetupDiag permettant d’aider les administrateurs à obtenir du détail lorsqu’une mise à niveau de Windows 10 ne fonctionnait pas. L’outil vérifie les fichiers de journalisation Windows Setup pour trouver les éléments bloquants afin d’identifier la cause principale de l’échec.

Afin d’exécuter l’outil, vous devez utiliser Windows 10 et avoir le .NET Framework 4.6 installé.

L’outil en ligne de commande peut être exécuté sur la machine ou de manière hors ligne à partir d’une machine où vous aurez récupéré les journaux d’une autre machine. Après exécution, vous obtenez un fichier SetupDiagResult.log qui vous donne les éléments essentiels trouvés par l’outil.

La version 1.6.0.42 apporte les éléments suivants :

• Les performances de détection des journaux sont améliorées. Ce qui prenait jusqu'à une minute devrait prendre environ 10 secondes.
• Ajout de l'opération d'installation et des informations sur la phase d'installation dans le journal des résultats et dans les informations du registre.
• Il s'agit des inforamtions Setup Operation et Setup Phase dans laquelle l'installation s'est déroulée lorsque l'échec s'est produit.
• Ajout des informations détaillées sur l'opération de configuration et la phase de configuration (et la synchronisation) au journal de sortie lorsque /verbose est spécifié.
• Ajout de plus d'informations à la sortie du Registre.

Plus d’informations sur l’outil et les paramètres de la ligne de commande 

Télécharger SetupDiag 1.6.0.42

Je vous en parlais il y a quelques semaines en vous expliquant comment privilégier l’une des deux méthodes, Microsoft a publié dans la version de ce mois d’Office ProPlus, la fonction native d’étiquetage/labélisation du contenu. Office ProPlus sur Windows vient rejoindre Office pour mac, Word, Excel et Powerpoint sur iOS et Android.

Une fois que l’entreprise a défini et configuré les labels/étiquettes et stratégies de confidentialité, les mêmes étiquettes sont publiées et mises à disposition dans les applications Office sans demander de client supplémentaire.

Cette fonction est proposée aux entreprises qui ont Office 365 E3 et E5.
Voici les versions des clients qui supportent cette fonction :

• Office 365 ProPlus version 1909+ (Canal mensuel ciblé)
• Office pour mac 16.21.0+
• Android : Word, Excel, PowerPoint 16.0.11231+ (Outlook arrive prochainement)
• iOS : Word, Excel, PowerPoint 2.21+ (Outlook arrive prochainement)
• Web : Word, Excel, PowerPoint, et Outlook sont prévus d’ici la fin de l’année

Plus d’informations sur les étiquettes de confidentialité

Source : https://techcommunity.microsoft.com/t5/Security-Privacy-and-Compliance/Sensitivity-labeling-now-built-into-Office-apps-for-Windows-to/ba-p/844506

J’en parlais déjà il y a quelques jours avec l’arrivée du rôle Global Reader, on ne retrouve pas moins de 16 nouveaux rôles dans Azure Active Directory permettant de gérer les droits d’accès aux différents services. On remarquera certains qui vont grandement intéresser les entreprises (Message center privacy reader, Authentication administrator,  Password administrator etc.).

Parmi les 16 rôles, on retrouve :

• Authentication administrator : Affichez, définissez et réinitialisez les informations et les mots de passe des méthodes d'authentification pour tout utilisateur non administrateur.
• Azure DevOps administrator : Gérer la politique et les paramètres d'organisation de DevOps Azure.
• B2C user flow administrator : Créer et gérer tous les aspects des flux d'utilisateurs.
• B2C user flow attribute administrator : Créez et gérez le schéma d'attributs disponible pour tous les flux utilisateur.
• B2C IEF Keyset administrator : Gérer les secrets pour la fédération et le cryptage dans le cadre de l'Identity Experience Framework.
• B2C IEF Policy administrator : Créer et gérer les politiques du cadre de confiance dans le cadre de l'expérience de l'identité.
• Compliance data administrator : Créez et gérez des données et des alertes de conformité.
• External Identity Provider administrator : Configurer les fournisseurs d'identité pour une utilisation en fédération directe.
• Global reader : Affiche tout ce qu'un administrateur Global peut voir sans pouvoir modifier ou changer.
• Kaizala administrator : Gérer les paramètres pour Microsoft Kaizala.
• Message center privacy reader : Lisez les messages du centre de messagerie, les messages de confidentialité des données, les groupes, les domaines et les abonnements.
• Password administrator : Réinitialiser les mots de passe pour les non-administrateurs et les administrateurs de mots de passe.
• Privileged authentication administrator : Affichez, définissez et réinitialisez les informations de méthode d'authentification pour tout utilisateur (administrateur ou non administrateur).
• Security operator : Crée et gère les événements de sécurité.
• Search administrator : Créez et gérez tous les aspects des paramètres de recherche Microsoft.
• Search editor : Créez et gérez le contenu éditorial tel que les signets, les questions et réponses, les emplacements, le floorplan.

Source : https://techcommunity.microsoft.com/t5/Azure-Active-Directory-Identity/16-new-built-in-roles-including-Global-reader-now-available-in/ba-p/900749  

Microsoft vient de publier l’Update Rollup 8 pour System Center 2016 Virtual Machine Manager (KB4518885). Avant d’appliquer cet UR, lisez bien les articles de la base de connaissances associés. Vous pouvez les déployer manuellement en récupérant les CAB ou via Windows Update/WSUS.

Cette version ajout la possibilité de déployer des machines virtuelles Gen-2 avec une mémoire jusqu'à 12 To et un processeur jusqu'à 240 cœurs.

Celui-ci corrige le problème suivant :

• Le déploiement du service par VMM échoue si le nom de domaine fourni est supérieur à 15 caractères.
• La cmdlet PowerShell 'Get-SCServicingWindowWindow' ne renvoie pas les fenêtres de maintenance actives si le paramètre'-ServicingWindowFilter' est passé avec la valeur 'now'.
• Lors de l'importation d'un modèle Vmware pour Windows Server 2016, l'option 'OS Configuration' est manquante.  Note : Une fois le correctif VMM 2016 UR8 appliqué, les modèles VMware doivent être supprimés et réimportés après l'exécution d'un travail de rafraîchissement VM pour que l'option 'OS Configuration' s'affiche. Par défaut, le rafraîchissement des VM s'exécute toutes les 30 minutes.Les compteurs de performances de la machine virtuelle dans VMM ne se rafraîchissent pas.
• Le déploiement Bare Metal échoue avec l'erreur ‘There was an error communicating with the endpoint. The server name or address could not be resolved’.
• Lorsqu'un hôte dans un domaine non sécurisé est géré par VMM, les événements avec les IDs '15030' et'17140' sont enregistrés dan s'Microsoft-Windows-Hyper-V-VMMS/Admin' toutes les 30 minutes.
• La migration cross-cluster échoue pour les machines virtuelles VMware hautement disponibles gérées dans VMM.
• VMM ne détecte pas la version OS du client Windows si la version est 1709 ou supérieure.
• Les réglages QOS configuré hors bande sont écrasés par VMM
• Les opérations effectuées sur une machine virtuelle peuvent échouer dans un environnement qui utilise DHCP pour l'attribution d'adresses IP tout en laissant la machine virtuelle gérer la même plage d'adresses IP.
• Les opérations simultanées sur les VM gérées par le contrôleur réseau peuvent échouer.
• Les propriétés de la carte d'interface réseau OOB peuvent être écrasées par job de rafraîchissement de VM VMM dans un environnement SDN v2.
• Les paires VLAN/sous-réseau sous le sous-menu ‘Logical network connectivity’ des propriétés de l'adaptateur réseau hôte ne sont pas sélectionnées.
• La console VMM plante lorsqu'un utilisateur en libre-service énumère les propriétés d'une VMM avec disque partagé.
• Les mises à jour de la mémoire et du processeur d'une machine virtuelle échouent lorsqu'une mise à jour est effectuée sur le disque VM en même temps.
• Le service SCVMM peut crasher lorsque plusieurs machines virtuelles sont créées simultanément.
• Des classes de Management Pack VMM obsolètes sont instanciées lorsque VMM est intégré à Operations Manager 2016 et supérieur.
• Plusieurs machines virtuelles peuvent être déployées simultanément à partir d'une machine virtuelle stockée dans VMM Library Server.
• Amélioration des performances dans le temps nécessaire à la création d'un pool d'IP statiques.

Important ! Je vous recommande de bien lire l’article de la base de connaissances pour connaître la marche à suivre pour l’application de cet Update Rollup.

Plus d’informations sur : https://support.microsoft.com/en-in/help/4518885/update-rollup-8-for-system-center-2016-virtual-machine-manager

Télécharger Update Rollup 8 for System Center 2016 Virtual Machine Manager:

• Server Update
• Console Update

Microsoft vient d’annoncer le support du client Office 365 ProPlus par Windows Server 2019 que ce soit pour des déploiements On-Premises ou dans Microsoft Azure. Dans le même temps, Microsoft recommande l’usage des fonctionnalités proposées par FSLogix pour permettre l’utilisation de conteneur Office 365 afin d’améliorer la disponibilité et les performances du profil utilisateur sur des environnements non persistants (VDI).

Source : https://cloudblogs.microsoft.com/windowsserver/2019/10/07/windows-server-2019-adds-support-for-office-365-proplus/

Microsoft vient de publier l’Update Rollup 8 pour System Center 2016 Operations Manager (KB4514877). Avant d’appliquer cet UR, lisez bien les articles de la base de connaissances associés. Vous pouvez les déployer manuellement en récupérant les CAB ou via Windows Update/WSUS.

Celui-ci corrige le problème suivant :

• Correction : Dans un scénario où SCOM surveille des centaines de machines virtuelles hébergées sur un seul serveur Hyper-v ; toutes les heures, le fichier healthservice.exe de chaque machine virtuelle écrit simultanément dans le fichier de la page VM. En raison de cette pagination simultanée, chaque heure les I/Os disque augmente et la base de données devient inaccessible. HealthService.exe a maintenant la fonction Memory Trimming activée par défaut sur une base horaire. Une clé de registre est fournie pour désactiver le réglage de la mémoire et contrôler la durée.
• Correction : Les données historiques n'apparaissent pas si l'heure de fin du rapport d'entrée est antérieure à l'heure de création du groupe. Avec cette correction, les données historiques d'un groupe (si des données sont disponibles pour les objets du groupe) sont affichées indépendamment de l'heure de création du groupe.
• Correction : Les changements d'état du mode de maintenance qui sont enregistrés dans la table MaintenanceModeStage nécessitent un nettoyage lorsque la table grandit. Si la table est grande, le nettoyage prend plus de temps et l'opération s'arrête avec l'exception SQLTimeOut.  
• Correction : Si un groupe est renommé dans un Management pack, la console affiche la nouvelle valeur mais la commande Powershell Get-SCOMGroup renvoie l'ancien nom du groupe. La fonctionnalité de mise à jour des bases de données n'était pas cohérente pour le renommage des groupes SCOM via MP et la Console SCOM.
• Correction: Les problèmes de pic CPU dus aux flux de travail exécutés sur tous les agents en même temps sont résolus par l'optimisation des scripts et la suppression du temps de synchronisation.
• Correction : Si la clé de registre sous "Computer\HKey_Local_Machine\Software\Microsoft\Microsoft\Microsoft Operations Manager\3.0\Setup\UseMIApi" est définie et si une tâche de script Unix/Linux sans paramètre est exécutée, cette tâche échoue.
• Amélioration : Parfois la procédure SQL stockée "p_SelectForNewTypeCache" prend beaucoup de temps à s’exécuter, et le service SDK ne démarre pas. Ceci est corrigé et la procédure stockée SQL se termine plus rapidement maintenant.

Important ! Vous devez installer la mise à jour KB3209591 avant d’installer cet Update Rollup. Je vous recommande de bien lire l’article de la base de connaissances pour connaître la marche à suivre pour l’application de cet Update Rollup.

Plus d’informations sur : https://support.microsoft.com/en-us/help/4514877/update-rollup-8-for-system-center-2016-operations-manager

Télécharger Update Rollup 8 for System Center 2016 Operations Manager