Microsoft publie une nouvelle version (Septembre 2019) d’Azure Data Studio, précédemment connu sous le nom SQL Operations Studio. Azure Data Studio offre une expérience d'éditeur moderne avec IntelliSense, des extraits de code, l'intégration du contrôle des sources et un terminal intégré.

Les utilisateurs passent de plus en plus de temps à travailler sur l'édition des requêtes que sur toute autre tâche avec SQL Server Management Studio. Pour cette raison, Azure Data Studio a été conçu pour se concentrer en profondeur sur les fonctionnalités les plus utilisées, avec des expériences supplémentaires disponibles comme des extensions optionnelles. Cela permet à chaque utilisateur de personnaliser son environnement comme il utilise le plus souvent.

Cette version intègre les changements suivants :

• L'éditeur de requêtes prend désormais en charge le basculement du mode SQLCMD pour écrire et modifier des requêtes en tant que scripts SQLCMD.
• Query Editor Boost est une extension open source destinée à améliorer l'éditeur de requêtes Azure Data Studio pour les utilisateurs qui écrivent fréquemment des requêtes.
  • Enregistrer la requête courante sous forme d'extrait
  • Changer de base de données à l'aide de Ctrl+U
  • Nouvelle requête à partir du modèle
  • Améliorations des Notebooks SQL sur notamment les performances pour la prise en charge des fichiers plus volumineux des ordinateurs portables
• Mise à jour avec Visual Studio Code 1.38
• Corrections de bugs

Quand utiliser Azure Data Studio ?

• Vous devez utiliser macOS ou Linux
• Vous devez vous connecter sur un cluster big data SQL Server 2019
• Vous passez plus de temps à éditer ou exécuter des requêtes
• Vous voulez de visualiser rapidement des graphiques et de visualiser des ensembles de résultats
• Vous avez un besoin minimal d’assistants
• Vous n'avez pas besoin de faire de configuration administrative profonde

Quand utiliser SQL Server Management Studio ?

• Vous passez la plupart de votre temps à des tâches d'administration de bases de données.
• Vous avez besoin de faire une configuration administrative importante
• Vous effectuez la gestion de la sécurité, y compris la gestion des utilisateurs, l'évaluation des vulnérabilités et la configuration des éléments de sécurité.
• Vous utilisez les rapports pour SQL Server Query Store
• Vous devez faire des optimisations de la performance et utiliser des tableaux de bord
• Vous avez besoin d'accéder aux serveurs enregistrés et de contrôler les services SQL Server sous Windows

Plus d’informations : https://cloudblogs.microsoft.com/sqlserver/2019/09/10/the-september-release-of-azure-data-studio-is-now-available/  

Pour rappel, ces outils sont disponibles depuis Windows, macOS, et Linux pour permettre de gérer SQL Server, Azure SQL Managed Instance, Azure SQL Database, Azure SQL Data Warehouse, et SQL Server 2019 Big Data Clusters.

Télécharger Azure Data Studio

Microsoft a annoncé l’extension de fin de support étendu d’Exchange Server 2010 du 14 Janvier 2020 au 13 Octobre 2020. Notez que la nouvelle date correspond à la fin de support des protocoles hérités par Exchange Online. Cette extension s’aligne aussi sur la fin de support d’Office 2010 et SharePoint 2010.

Après le 13 octobre 2020, Microsoft ne fournira plus de support technique pour les problèmes qui peuvent survenir, y compris : les corrections de bugs pour les problèmes qui sont découverts et qui peuvent affecter la stabilité du serveur, les corrections de sécurité pour les vulnérabilités qui sont découvertes et qui peuvent rendre le serveur vulnérable aux violations de sécurité, et les mises à jour des fuseaux horaires.

Plus d’informations sur : https://techcommunity.microsoft.com/t5/Exchange-Team-Blog/Microsoft-Extending-End-of-Support-for-Exchange-Server-2010-to/ba-p/753591

Aujourd’hui, je souhaitais vous partager un retour d’expérience lors du déploiement du connecteur de certificats PKCS ou SCEP de Microsoft Intune. Lors de la configuration du connecteur et après le processus de connexion, l’interface du connecteur (NDESConnectorUI) vous renvoie le message suivant :

An unexpected error has occurred

Si vous regardez le fichier de journalisation NDESConnector_YYYY-MM-DD_xxxxxx.svclogdans %programfiles%\Microsoft Intune\NDESConnectorSvc\Logs\Logs\, vous observez les erreurs suivantes :

NDES Connector certificate could not be found

<Source Name="NDESConnectorService" /><Correlation ActivityID="{<Correlation ActivityID>}" /><Execution ProcessName="NDESConnector" ProcessID="7364" ThreadID="50" /><Channel/><Computer>Computer_Name</Computer></System><ApplicationData>Writing registry SOFTWARE\Microsoft\MicrosoftIntune\NDESConnector\ConnectionStatus - IssueDetails with the value 0x80004003.

Ce problème survient si l’utilisateur/administrateur du service Intune qui se connecte, n’a de licence Microsoft Intune attribuée. Vous devez donc attribuer une licence.

Plus d’informations sur : "Unexpected error" and error 80004003 when you sign in to Intune NDES Connector UI

Microsoft vient de mettre à jour le pack d’administration (Management Pack) pour la brique Skype for Business Server 2015 en version 9319.562. Pour rappel, System Center Operations Manager (SCOM) fait partie de la gamme System Center, il propose une supervision souple et évolutive de l’exploitation au niveau de toute l’entreprise, réduisant la complexité liée à l’administration d’un environnement informatique, et diminuant ainsi le coût d’exploitation. Ce logiciel permet une gestion complète des événements, des contrôles proactifs et des alertes, et assure une gestion des services de bout en bout. Il établit des analyses de tendance et des rapports, et contient une base de connaissances sur les applications et le système.

Ce management pack apporte les fonctionnalités suivantes :

• Scénario de disponibilité de bout en bout à partir de plusieurs emplacements.
• Fiabilité et qualité des appels perçue par les utilisateurs
• Etat de santé et performance des composants

Ce Management Pack fonctionne avec System Center Operations Manager 2007 R2 ou System Center 2012 Operations Manager. Lisez le guide associé au Management Pack pour mettre en œuvre la supervision et activer les règles nécessaires.

Télécharger Skype for Business Server 2015, Management Pack

Michael Niehaus (MSFT) a publié un très bon billet informatif sur des problématiques entre Windows Autopilot pour les périphériques existants et Windows 10 1903. Ce scénario implique l’utilisation de System Center Configuration Manager pour descendre une image de Windows 10 et ensuite lancer le processus Windows Autopilot via un fichier JSON présent localement sur la machine.

La problématique est que dans Windows 10 1903, Microsoft a introduit la suppression du dossier C:\Windows\Provisioning\Autopilot lors de l’exécution de la commande sysprep /generalize.

Dans le même temps, la séquence de tâches proposée par Configuration Manager pour le scénario Windows Autopilot for existing devices comprend l’étape ‘Prepare Windows for Capture” qui exécute la commande sysprep /generalize. Le dossier est donc nettoyé. Or le fichier JSON pour ce scénario et utilisé pour démarrer Windows Autopilot est présent dans ce dossier.

Par conséquent, il recommande :

• La désactivation de la tâche Prepare Windows for Capture
• L’ajout d’une étape Run Command line avec la commande : c:\windows\system32\sysprep\sysprep.exe /oobe /reboot

Plus d’informations sur : A challenge with Windows Autopilot for existing devices and Windows 10 1903

Microsoft a revu l’iFrame permettant l’ajout d’une application/lien web/application métier provenant du Managed Google Play pour Microsoft Intune. Si vous utilisez Internet Explorer pour accéder au portail Intune soit via portal.azure.com ou devicemanagement.microsoft.com, vous pouvez observer le non chargement de l’iFrame et une fenêtre blanche :

Le problème n’est pas constaté pour Microsoft Edge, Microsoft Edge (Chromium), Google Chrome ou Mozilla Firefox.

Microsoft est au courant du problème et travaille à corriger ce dernier.

Microsoft vient de publier la version finale de la baseline de paramétrages de sécurité (v1908) pour Office 365 ProPlus. Ces dernières s’utilisent avec Security Compliance Manager (SCM), par GPO, ou via le nouveau service Office Cloud Policy. Les lignes de base permettent de vérifier la conformité d’une application vis-à-vis des bonnes pratiques et recommandations Microsoft. Les paramètres recommandés correspondent aux modèles d’administration publiés (Version 4909) en septembre 2019. Microsoft a fait une revue de tous les paramétrages proposés pour ne se concentrer que sur ce qui a une valeur pour ces nouvelles versions d’Office.

Parmi les changements mis en avant, on retrouve :

• La catégorisation des GPOs par composants pour que les réglages "difficiles" puissent être ajoutés ou supprimés unitairement.
• Blocage complet des formats de fichiers hérités
• Blocage de l'utilisation de Dynamic Data Exchange (DDE) par Excel
• L'option "Block macros from running in Office files from the Internet" est désormais prise en charge pour Access.
• Implémentation de nouveaux paramètres pour bloquer l'ouverture de certains fichiers non fiables et en ouvrir d'autres en mode Protégé.
• Activation du nouveau réglage "Macro Runtime Scan Scope".

Plus d’informations sur : https://techcommunity.microsoft.com/t5/Microsoft-Security-Baselines/Security-baseline-for-Office-365-ProPlus-v1908-Sept-2019-FINAL/ba-p/873084

Téléchargez Security Compliance Toolkit

Microsoft vient de publier une mise à jour (4909.1000) des modèles d’administrations (ADMX, ADML) Active Directory et des outils de personnalisation (OCT) pour Office 2016, Office 2019 et Office 365 ProPlus. Les modèles d’administrations pour Active Directory permettent d’ajouter les paramètres permettant de personnaliser les options d’Office 2019. Cette mise à jour permet par exemple d’utiliser le paramètre pour forcer Office 365 ProPlus à utiliser une licence périphérique (Use a device-based license for Office 365 ProPlus)

Télécharger Administrative Template files (ADMX/ADML) and Office Customization Tool for Office 365 ProPlus, Office 2019, and Office 2016

Zscaler a nommé Microsoft partenaire technologique de l’année 2019 pour tous les investissements et intégrations qui ont été réalisés entre les solutions. Ceci inclut :

• Azure Active Directory avec l’intégration des stratégies d’accès conditionnel avec les applications Zscaler mais aussi le support du provisionnement d’utilisateurs dans les applications Zscaler.
• Microsoft Intune avec l’intégration permettant de déployer des profils de configuration VPN.
• Microsoft Cloud App Security pour permettre la découverte et la gestion des accès via les informations renvoyées par Zscaler pour identifier du ShadowIT, etc.

Source : https://www.microsoft.com/security/blog/2019/09/23/microsoft-awarded-zscaler-technology-partner-of-the-year-2019/

Je vous propose un billet pour parler d’une erreur 1625 renvoyée lors l’installation d’une application avec System Center Configuration Manager. Cette erreur concerne les machines Windows 10. Vous observez les messages suivants en ouvrant le fichier de journalisation appenforce.log :

+++ MSI application not discovered [MSI Product Code: {XXXXXXXx}, MSI Product version:
App enforcement environment:

               Context: Machine

               Command line: msiexec /i "XXXXXXXXX.msi" /q

               Allow user interaction: No

               UI mode: 0

               User token: null

               Session Id: 1

               Content path: C:\WINDOWS\ccmcache\5

               Working directory:

    Prepared working directory: C:\WINDOWS\ccmcache\5

Found executable file msiexec with complete path C:\WINDOWS\system32\msiexec.exe

    Prepared command line: "C:\WINDOWS\system32\msiexec.exe" /i " XXXXXXXXX.msi" /q /qn

Valid MSI Package path = C:\WINDOWS\ccmcache\5\ XXXXXXXXX.msi

    Advertising MSI package [C:\WINDOWS\ccmcache\5\ XXXXXXXXX.msi] to the system

AdvertisePackage - MsiAdvertiseProduct Failed : 0x80070659

AdvertisePackage failed (0x80070659).

Lowright users might fail to install this application if it requires higher privileges

    Executing Command line: "C:\WINDOWS\system32\msiexec.exe" /i " XXXXXXXXX.msi" /q /qn with user context

    Working directory C:\WINDOWS\ccmcache\5

    Post install behavior is BasedOnExitCode

    Waiting for process 6044 to finish.  Timeout = 120 minutes.

    Process 6044 terminated with exitcode: 1625

    Looking for exit code 1625 in exit codes table...

    Unmatched exit code (1625) is considered an execution failure.

L’erreur 1625 correspond au message : “This installation is forbidden by system policy. Contact your system administrator”.
Ceci est dû à l’activation de Windows Defender Application Control / Device Guard. Une stratégie est appliquée sur la machine Windows 10 et bloque les installations même si elles sont réalisées avec le compte système.

En l’occurrence ici, la stratégie est appliquée avec une stratégie de restriction du périphérique (Device Restriction) dans Microsoft Intune. Le périphérique est dans un mode Co-Management et l’installation de l’application a lieu avec System Center Configuration Manager.

Windows Defender Application Control permet normalement à l’outil d’administration de spécifier une exception appelée Managed Installers pour des outils de déploiement. Les solutions d’administration définies comme Managed Installers peuvent exécuter des installations d’applications et les applications installées sont automatiquement ajoutées à la liste des exceptions pour l’exécution.

En l’occurrence, Microsoft Intune (à date d’écriture – Août 2019) ne définit ni ses propres processus (Intune Management Extension) ni le client ConfigMgr comme Managed Installers. C’est pourquoi cette situation survient dans un mode de Co-Management.

A date, la seule option est de déployer la stratégie Windows Defender Application Control avec System Center Configuration Manager. En effet, ce dernier s’ajoute tout seul comme Managed Installer et peut ainsi exécuter l’installation des applications qu’il déploie. Notez qu’à date, la stratégie Windows Defender Application Control avec System Center Configuration Manager, ne définit par contre pas Microsoft Intune (Intune Management Extensions) comme Managed Installer et ce malgré la mise en place du Co-Management.

Microsoft travaille pour améliorer ces scénarios (notamment côté Intune)

Voici un excellent billet de l’équipe du support Microsoft Intune qui résume les options disponibles pour mettre des périphériques Android et iOS dans un mode Kiosk. On retrouve donc :

• Le mode Kiosk via Android Device Administrator couplé à Samsung KNOX (non recommandé dans le temps)
• Le mode Kiosk d’Android Enterprise Dedicated Device
• Le mode Kiosk d’iOS et son mode supervisé
• L’utilisation d’une restriction de périphérique détournée sur iOS

Pour plus de détails, je vous invite à lire : Enabling kiosk mode on Android and iOS devices

Microsoft a publié la Public Preview (v2.4.38.0) du nouveau client et scanner Unified Labeling d’Azure Information Protection.  Cette version couvre les fonctionnalités standards et la classification automatique. Les fonctionnalités avancées sont attendues prochainement. C’est aussi la première version du scanner basée sur l’Unified Labeling. Pour rappel, Azure Information Protection permet de classifier et labéliser la donnée au moment de la création en fonction de différentes catégories. L’administrateur peut ensuite appliquer des stratégies de protection embarquée dans la donnée en fonction de la classification appliquée. Ce service est issu du rachat de Secure Islands et vient englober Azure Rights Management (RMS).

Pour les fonctionnalités proposées par le Scanner, on retrouve :

• Plusieurs scanners peuvent partager la même base de données SQL Server lorsque vous configurez les scanners pour utiliser le même profil d’analyse.
• Vous devez spécifier un profil lorsque vous installez le scanner et que la base de données du scanner s'appelle AIPScannerUL_<profile_name>. Le paramètre Profil est également obligatoire pour Set-AIPScanner.
• Vous pouvez définir un label par défaut sur tous les documents, même si les documents sont déjà labelisés.
• Vous pouvez supprimer les labels existants de tous les documents et cette règle inclut la suppression de la protection si elle a déjà été appliquée par un label. La protection appliquée indépendamment d'un label est préservée.
• Comme avec le scanner du client classique, le scanner protège les fichiers Office et les fichiers PDF. Actuellement, vous ne pouvez pas configurer d'autres types de fichiers à protéger par cette version du scanner.

Concernant le client Unified Labeling, on retrouve les changements suivants :

• La cmdlet PowerShell Set-AIPAuthentication a de nouveaux paramètres lorsque vous voulez labeliser des fichiers de manière non interactive, et une nouvelle procédure pour enregistrer une application dans Azure AD.
• Les types d'informations sensibles personnalisés correspondants sont envoyés à Azure Information Protection Analytics.
• Le label appliqué affiche la couleur configurée pour le label, si une couleur a été configurée.
• Lorsque vous ajoutez ou modifiez des paramètres de protection à un label, le client applique à nouveau le label avec ces derniers paramètres de protection lors du prochain enregistrement du document. De même, le scanner réapplique le label avec ces derniers paramètres de protection lors de l’analyse suivante du document en mode Appliqué.
• Nouvelle cmdlet, Export-AIPLogs, pour rassembler tous les fichiers journaux de %localappdata%\Microsoft\MSIP\Logs et les enregistrer dans un seul fichier compressé au format.zip. Ce fichier peut ensuite être envoyé au support Microsoft si l'on vous demande d'envoyer des fichiers journaux pour vous aider à investiguer sur un problème.
• Vous pouvez modifier avec succès un fichier protégé à l'aide de l'Explorateur de fichiers et cliquez avec le bouton droit de la souris après avoir supprimé un mot de passe pour le fichier.
• Amélioration des performances et de la stabilité

Vous trouverez la comparaison des fonctionnalités entre le client et le client Unified Labeling.

Plus d’informations sur la version du client AIP Unified Labeling

Télécharger Azure Information Protection unified labeling client

Microsoft est revenu sur le support d’iOS 13 par Microsoft Intune et Microsoft va vite.

Microsoft a revu notamment Microsoft Intune pour les éléments suivants :

• Device features, device restrictions, et extension profiles pour les paramètres iOS et macOS sont affichés par type d’enregistrement. On retrouve la séparation suivante :

• • iOS
    • User enrollment
    • Device enrollment
    • Automated device enrollment (supervised)
    • All enrollment types
  • macOS
    • User approved
    • Device enrollment
    • Automated device enrollment
    • All enrollment types
• iOS 13 a engendre le passage de certains paramètres pour les rendre disponibles uniquement dans un mode supervisé. Microsoft a reflété ce changement dans la console
  • App Store, Doc Viewing, Gaming
    • App store (supervised only)
    • Explicit iTunes, music, podcast, or news content (supervised only)
    • Adding Game Center friends (supervised only)
    • Multiplayer gaming (supervised only)
  • Built-in Apps
    • Camera (supervised only)
    • FaceTime (supervised only)
    • Safari (supervised only)
    • Autofill (supervised only)
  • Cloud and Storage
    • Backup to iCloud (supervised only)
    • Block iCloud Document sync (supervised only)
    • Block iCloud Keychain sync (supervised only)

Parmi les nouveautés introduites par iOS 13, on retrouve déjà :

• La Preview du nouveau mode d’enregistrement BYOD (User Enrollment) avec notamment les types d'enregistrement qui peuvent être associés aux utilisateurs ou périphériques

• Le support de l’expérience Single Sign-On avec les profils de configuration pour que les utilisateurs puissent accéder à une suite complète d'applications et de sites Web après avoir entré leur nom d'utilisateur et mot de passe une seule fois. Il est possible de configurer une extension d'application SSO générique ou la nouvelle extension d'application Kerberos intégrée d'Apple, qui permet la gestion des mots de passe et la synchronisation locale avec Active Directory. Microsoft travaille sur le support d'une extension d’application pour Azure AD qui permettra aux utilisateurs d'accéder à toutes les applications Microsoft avec une seule ouverture de session.
• De nouveaux paramètres de commande vocale pour les périphériques iOS 13.x ou ultérieurs supervisés fonctionnant en mode kiosque.
• Microsoft permet la personnalisations des nouveaux écrans introduit dans iOS 13 concernant la phase de configuration du téléphone pour les périphériques issus d’Apple DEP.

Outre ces fonctionnalités déjà proposées, Microsoft travaille sur :

• L’ajout du Dark Mode (mode sombre) au portail d’entreprise (courant octobre).
• Le support natif de 3 nouvelles restrictions applicables à iOS/iPadOS 13 (courant octobre)
  • L’accès aux partages réseaux dans l’application Fichiers
  • L’accès aux lecteurs USB dans l’application Fichiers
  • Wi-Fi toujours activé
• Le support d’ici la fin d’année de l’authentification moderne dans l’assistant de configuration (Setup Assistant) pour les périphériques DEP.

Source : Microsoft Intune Support for iOS 13.1 and iPadOS

Cela fait déjà quelques mois que je vous partage des articles sur les avancées du client Azure Information Protection Unified Labeling ou sur les nouveautés du service. Aujourd’hui, Microsoft accélère la cadence dans le but de faire adopter ce nouveau mode.

On retrouve en premier lieu un article qui explique comment adopter le client Azure Information Protection Unified Labeling en lieu et place du client classique. Le but est de mettre en avant les avantages et de démontrer qu’il n’existe que peu d’inconvénients à l’adopter.

Le second point est la publication en préversion du scanner Unified Labeling utilisé pour étiqueter/labeliser les fichiers en masse. L’avantage de celui-ci contrairement au scanner classique est de proposer un véritable mécanisme de montée en charge. Vous pouvez donc en installer plusieurs qui reçoivent la même stratégie et travaillent en équipe pour mieux adresser vos besoins. Plus d’informations sur : Unified labeling AIP scanner preview brings scaling out and more!

En outre, il est possible de définir les options de permissions définies par l’utilisateur est disponible dans le portail Security and Compliance Center.

Enfin, les applications d’Office ProPlus intègrent nativement les étiquettes de sensibilité (Sensitivity Label) sans demander l’installation d’un client Azure Information Protection. Je vous expliquais d’ailleurs il y a quelques semaines comment privilégier le client Azure Information Protection sur la fonction de sensibilité d’Office.

Microsoft a annoncé la disponibilité générale de la réponse automatisée aux incidents (Automated Incident Response) dans Office 365 ATP. Cette fonctionnalité permet d’initier automatiquement des playbooks ou des actions basées sur la levée d’alertes ou d’incidents. Ceci permet de réduire drastiquement le temps d’investigation et de réagir rapidement à des menaces.

On retrouve deux types d’investigations :

• Les investigations automatiques initiées par des alertes surviennent lorsqu’un utilisateur a renvoyée un email de phishing, lorsqu’un utilisateur clic sur un lien malicieux déterminé par détonation, ou lorsqu’un malware est détecté après la délivrance du message ou enfin lorsqu’une attaque de phishing est détectée après coup. La fonctionnalité est disponible avec Office 365 ATP Plan 2, Office 365 E5, Microsoft 365 E5 Security.
• Les investigations manuelles qui suivent un playbook à partir de l’espace Threat Explorer.

Plus d’informations sur : Automated incident response in Office 365 ATP now generally available

Je me permets de repartager les informations de Michael Niehaus sur quelques bizarreries et feedbacks de Windows Autopilot. Pour rappel, Windows AutoPilot est l’équivalent du programme Apple Device Enrollment Program (DEP). Il permet de pré-provisionner des périphériques sans action particulière de la part de l’utilisateur. On peut donc acheter le périphérique et le faire livrer directement à l’utilisateur. Ce dernier le démarre et il se configure tout seul avec les éléments nécessaires pour l’entreprise.

Voici un résumé des éléments partagés :

• L’Enrollment Status Page (ESP) ne suit pas réellement les stratégies de configuration des périphériques. L’ESP affiche une sous-catégorie Security Policy qui affiche souvent 0 sur 1/1 sur 1. En réalité, cette étape est utilisée pour un tout autre but.  Si vous installez des applications, il est fort probable que les stratégies de configuration seront traitées et appliquées avant que l'ESP ne soit terminé.
• Intune Management Extension :
  • L’Enrollment Status Page (ESP) ne traque pas les scripts PowerShell exécutés via l’Intune Management Extensions. Ils seront envoyés à la machine avec toutes les autres stratégies, Il se peut que certains s’exécutent si vous installez beaucoup d’applications mais sans garantie.
  • Les échecs d'installation des applications Win32 provoquent des timeouts sur l’ESP. Si vous installez une application Win32 via Intune Management Extensions et que cette installation échoue, généralement avec un code de retour inattendu, cette erreur n'est pas signalée par l'ESP. L’ESP finit par tomber en timeout
  • Les erreurs de règle de détection d'installation d'application Win32 provoquent des timeouts sur l’ESP. Si vous installez une application Win32 via Intune Management Extensions mais que vous n'avez pas les bonnes règles de détection, Intune Management Extensions supposera que l'application n'a pas réussi à s'installer et essaiera de l'installer à nouveau. 
• Actuellement, Microsoft Intune cible les paramètres de l’Enrollment Status Page pour les utilisateurs, pas pour les périphériques. Mais il y a certains scénarios (par exemple, white glove, self-deploying mode) où il n'y a pas d'utilisateur.  Dans ces cas, l’Enrollment Status Page utilisera la stratégie par défaut. 
• Certains scénarios de Windows Autopilot (p. ex. self-deploying mode, user-driven Hybrid Azure AD Join) échoueront avec une erreur d’enregistrement (80180005) si vous attribuez le profil Autopilot via le Microsoft Store for Business plutôt que via Intune.

Plus d’informations sur : Windows Autopilot oddities

Michael Niehaus a réalisé un billet qui résume bien pourquoi il est primordial d’éviter d’utiliser la version initiale de Windows 10 1903 pour tester ou utiliser Windows Autopilot. Parmi les bugs résolus dans les derniers correctifs cumulatifs, on retrouve :

KB4505903 (7D publiée en Juillet):

• Le scénario Windows Autopilot White Glove ne fonctionne pas sur des machines avec un système d’exploitation non anglais. Dans ce cas, vous voyez un écran rouge final qui dit que l’opération a été réalisée avec succès.
• Windows Autopilot renvoie des erreurs AUTOPILOTUPDATE lors de la phase post installation (OOBE) après un sysprep, une réinitialisation ou tout autre élément de ce type.
• Le chiffrement BitLocker n’est pas correctement configuré via Windows Autopilot.
• Il n’est pas possible d’installer d’applications universelles (UWP) à partir du Microsoft Store (de manière en ligne) engendrant ainsi des échecs lors de Windows Autopilot. C’est notamment le cas si le portail d’entreprise Intune fait partie des applications obligatoires lors de l’exécution de la page d’état d’enregistrement (ESP)
• L’utilisateur n’obtient pas les droits d’administration lors de l’utilisation du scénario User-Driven Hybrid Azure AD Join. Ceci est encore lié à la langue du système d’exploitation non anglaise.

KB4512941 (8D publiée fin août):

• Windows Autopilot for existing devices ne supprime pas correctement la page "Activités" pendant la phase OOBE.
• L'état d'attestation TPM n'est pas effacé par un sysprep /generalize, provoquant l'échec de l'attestation TPM lors d'une post installation OOBE ultérieure.  (Problème principalement rencontré avec des tests).
• L'attestation TPM peut échouer si l'appareil possède un certificat AIK valide mais pas de certificat EK. 
• Si l'attestation TPM échoue pendant le processus WIndows Autopilot White Glove, la page d'atterissage Windows Autopilot semble être suspendue.
• L'attestation TPM échoue sur les nouvelles TPMs Infineon (version du firmware > 7.69).
• Les modèles de nommage des périphériques peuvent tronquer le nom de l'ordinateur à 14 caractères au lieu de 15.
• Les stratégies Assigned Access provoquent un redémarrage qui peut interférer avec la configuration des périphériques en mode kiosk à application unique.

KB4517211 (9D Mise à jour attendue pour fin septembre) :

• L'attestation TPM échoue sous Windows 10 1903 en raison d'une extension AKI manquante dans le certificat EK.

Ainsi, il est recommandé d’utiliser les dernières images à jour à partir du portail MSDN ou d’injecter le dernier correctif cumulatif dans vos images.

Source : https://oofhours.com/2019/09/15/windows-autopilot-known-issues-in-windows-10-1903/

Microsoft vient de mettre à disposition la Preview en version 1909 de l’interface graphique permettant de gérer les infrastructure Windows Server : Windows Admin Center. La disponibilité générale est attendue pour le mois prochain

Parmi les nouveautés, on retrouve notamment

• Dans la nouvelle expérience Ajouter une connexion, les machines virtuelles Azure sont maintenant un type de connexion de premier niveau. Cette fonctionnalité était auparavant sous l'onglet "Azure" lors de l'ajout d'un serveur. Lorsqu'un serveur est ajouté de cette façon, il apparaît dans la liste des connexions comme "Serveur (Azure VM)" afin que vous puissiez facilement voir lesquels de vos serveurs sont des VM Azure.
• Les deux types de connexion distincts pour les hyper-converged clusters et les failover clusters ont été fusionnés en un seul type de connexion unifié. Les clusters peuvent être ajoutés en tant que "cluster de serveurs Windows" et les outils appropriés seront chargés et disponibles, principalement en fonction de l'activation ou non de Storage Spaces Direct. Les connexions cluster hyper-converged clusters et les connexions Failover Clusters ajoutées à partir des versions précédentes de Windows Admin Center seront automatiquement migrées vers le nouveau type de connexion cluster.
• Plusieurs améliorations à Packetmon :
  • Nouvel assistant de dialogue de capture - les utilisateurs doivent suivre plusieurs étapes pour définir les conditions de capture : sélectionner des composants spécifiques, définir des filtres, choisir les paquets jetés/abandonnés ou tous les paquets.
  • Bouton Conditions de capture - ouvre une boîte de dialogue qui affiche les conditions utilisées pour créer la capture.
  • Bouton de redémarrage - réutilisez les mêmes conditions pour redémarrer la capture.
  • Boîte de dialogue Afficher les filtres - Filtrer davantage les résultats capturés
  • Bouton Enregistrer - pour enregistrer le journal capturé dans différents formats
  • La page de détails des paquets montre maintenant les noms réels des composants de la pile réseau
• Première preview de l’extension IIS pour Windows Admin Center fournissant les outils de IIS Manager.
• Disponibilité Générale (v1.2.11) de l’extension Lenovo XClarity Integrator.
• L'extension BiitOps Changes est maintenant officiellement disponible pour permettre l'identification et le dépannage des incidents de serveur via le centre d'administration Windows afin d’obtenir un puissant aperçu graphique des modifications.

Parmi les problèmes connus, on retrouve :

• L'extension Dell EMC OpenManage Integration n'est pas compatible avec Windows Admin Center v1909 en raison d'un changement de dernière minute dans cette version et ne pourra être installée. Dell EMC sortira bientôt une nouvelle version.
• Connexions de cluster - Lors de l'ajout d'une connexion de cluster, il est fait référence à la création d'un nouveau cluster, mais cette fonctionnalité n'est pas encore disponible.
• Azure Monitor onboarding - Si vous gérez un serveur ou un cluster en utilisant des identifiants "manage as", l'intégration peut échouer.
• Réseau - Si vous avez configuré un adaptateur réseau Azure, la valeur sous Microsoft Azure Virtual Network Gateway Address sera formatée comme un hyperlien mais conduira à une adresse invalide.
• Les utilisateurs de Chrome peuvent voir la réponse 403 Forbidden après la mise à niveau. La solution consiste à fermer tous les onglets chrome ouverts (assurez-vous qu'aucun processus chrome.exe n'est en cours d'exécution). Après le redémarrage du chrome, tout fonctionnera normalement. Microsoft a un message d'erreur qui l'indique clairement, mais les utilisateurs de chrome avec plusieurs onglets Windows Admin Center ouverts pendant la mise à niveau ne verront pas le message.

 Télécharger Windows Admin Center Preview

Je souhaitais vous partager deux très bons rapports réalisés par Seth Price (PFE ConfigMgr) concernant la fonctionnalité P2P Peer Cache de System Center Configuration Manager. Ce sont des rapports que j’utilise parfois dans certains environnements. On retrouve :

• PE Peer Cache Candidate Dashboard affiche une évaluation de chaque machine pour devenir un hôte Peer Cache. Les candidats sont des machines clientes, connectées en Ethernet avec 20 GB d’espace libre, et des stations de travail.
• PE Peer Cache Enabled Client liste toutes les machines qui ont Peer Cache d’activé.

Pour les utiliser, vous devez activer l’inventaire de certaines classes d’inventaire matériel et ajouter l’attribut OperatingSystem à la découverte des systèmes.

Plus d’informations sur : Configuration Manager Peer Cache: Custom Reporting Examples

Télécharger les rapports

L’équipe du support Intune a publié plusieurs bons billets expliquant comment utiliser les fonction de déploiement de certificats PKCS ou SCEP dans Microsoft Intune.

Voici les articles en question à lire et garder sous la main :

• Configuring and Troubleshooting PFX/PKCS Certificates in Microsoft Intune
• Configuring a Symantec PKI certificate template for Intune PKCS deployment
• How to configure NDES for SCEP certificate deployments in Intune
• PKCS, SCEP, and, DEP devices without user affinity

Microsoft vient de mettre à jour (août 2019) la liste des plages adresses IP utilisées pour ses différents Datacenters Microsoft Azure. Cette liste peut vous être utile pour configurer des exceptions firewall entre votre organisation et d’éventuelles machines présentes dans le cloud de Microsoft.

Télécharger :

• Microsoft Public IP Space
• Microsoft IP Range GeoLocation
• Azure IP Ranges and Service Tags – Public Cloud

L’équipe Microsoft Defender Advanced Threat Protection (MD ATP) vient d’annoncer la disponibilité générale de l’agent EDR pour Windows Server 2008 R2. Pour rappel, Microsoft Defender Advanced Threat Protection est un service initialement inclus dans Windows 10 proposant une solution d’analyse, d’investigation et de réponse (forensic) permettant d’améliorer la détection et l’alerting. Il offre des actions de réponse et une vision courante des attaques possibles. Il permet de répondre à des attaques comme celles de ransomwares, malwares, etc. Il inclut aussi un module de gestion des menaces et des vulnérabilités.

L’agent pour Windows Server 2008 R2 s’intègre aussi avec Azure Security Center pour obtenir les informations dans ce produit provenant d’ATP.

Plus d’informations sur : Microsoft Defender ATP EDR support for Windows Server 2008 R2 now generally available

Microsoft vient d’annoncer que les clients qui utilisent Windows Insiders for Business peuvent maintenant faire des demandes de support sans surcoût via Microsoft Support pour les Builds de Windows 10 dans les canaux lent (Slow Ring) et Release Preview. Ceci concerne notamment la prochaine version Windows 10 1909. C’est une grande nouvelle qui va peut-être convaincre plus d’entreprises de déployer de manière proactive les Builds Windows Insiders.

Vous pouvez faire la demande via le formulaire suivant GET THE ONLINE SUPPORT REQUEST FORM

1. Sélectionnez ensuite le produit Windows Client v1909 Release Preview – WIPfB

1. Dans le détail du problème, entrez le titre suivant : [Nom de l’entreprise] New XXXX feature unusable after XXXX et spécifiez une description.
2. Renseignez ensuite les pages Severity, Contact Information comme vous le souhaitez
3. Validez l’ouverture dans la page de résumé.

Plus d’informations sur : Microsoft Support now available for Windows 10 Insider Preview Builds

Microsoft vient de publier une mise à jour (1.4.18.0) à Azure AD Connect. Azure Active Directory Connect (AADC) est anciennement DirSync et Azure Active Directory Sync (AAD Sync). Pour rappel, l’outil a été développé afin de fournir aux utilisateurs une identité hybride commune à travers les services on-premises et cloud en utilisant Active Directory connecté à Azure Active Directory. Ainsi, les utilisateurs peuvent bénéficier d’une identité commune pour les comptes à travers Office 365, Intune, des applications SaaS et des applications tierces.

La version n’est pour l’instant disponible que via le mécanisme de mise à niveau automatique.

Notez qu’elle comprend une correction correspondant à un changement important (voir le dernier point de la liste).

Cette version comprend les améliorations suivantes :

• De nouveaux outils de dépannage permettent de dépanner les scénarios pour un "utilisateur non synchronisé", "groupe non synchronisé" ou "membre du groupe non synchronisé".
• Support des Cloud souverains dans le script de dépannage AAD Connect
• Les paramètres WMI obsolètes pour MIIS_Service ont été supprimés. Toutes les opérations WMI doivent maintenant être effectuées via des cmdlets PS.
• Amélioration de la sécurité en réinitialisant la délégation restreinte sur l'objet AZUREADSSOACC
• Lors de l'ajout ou de l'édition d'une règle de synchronisation, s'il y a des attributs utilisés dans la règle qui sont dans le schéma du connecteur mais non ajoutés au connecteur, les attributs sont automatiquement ajoutés au connecteur. Il en va de même pour le type d'objet affecté par la règle. Si quelque chose est ajouté au connecteur, le connecteur sera marqué pour une importation complète lors du prochain cycle de synchronisation.
• L'utilisation d'un administrateur d'entreprise ou de domaine comme compte connecteur n'est plus supportée.
• Dans le Gestionnaire de synchronisation, une synchronisation complète est exécutée lors de la création/modification/suppression de règles. Une fenêtre contextuelle apparaîtra lors de tout changement de règle avertissant l'utilisateur si l'importation complète ou la synchronisation complète doit être exécutée.
• Ajout d'étapes d'atténuation des erreurs de mot de passe sur la page ‘connectors > properties > connectivity'.
• Ajout d'un avertissement de dépréciation pour le gestionnaire de service de synchronisation sur la page des propriétés du connecteur. Cet avertissement avertit l'utilisateur que les modifications doivent être effectuées par l'intermédiaire de l'assistant AADC.
• Ajout d'une nouvelle erreur pour les problèmes avec la stratégie de mot de passe d'un utilisateur.
• Empêche la mauvaise configuration du filtrage de groupe par domaine et des filtres OU. Le filtrage de groupe affichera une erreur lorsque le domaine/OU du groupe saisi est déjà filtré et empêchera l'utilisateur d'avancer jusqu'à ce que le problème soit résolu.
• Les utilisateurs ne peuvent plus créer de connecteur pour Active Directory Domain Services ou Windows Azure Active Directory dans l'ancienne interface utilisateur.
• Correction de l'accessibilité des contrôles d'interface utilisateur personnalisés dans Sync Service Manager
• Activation de six tâches de gestion de fédération pour toutes les méthodes de connexion dans Azure AD Connect. (Auparavant, seule la tâche "Update AD FS SSL certificat" était disponible pour toutes les connexions.)
• Ajout d'un avertissement lors du changement de la méthode de connexion du mode fédération à PHS ou PTA afin d’avertir que tous les domaines et utilisateurs Azure AD seront convertis en authentification gérée.
• Suppression des certificats de signature de jeton de la tâche "Reset Azure AD and AD FS trust" et ajout d'une sous-tâche séparée pour mettre à jour ces certificats.
• Ajout d'une nouvelle tâche de gestion de la fédération appelée "Manage certificates" qui comporte des sous-tâches pour mettre à jour les certificats SSL ou de signature de jetons pour la ferme AD FS.
• Ajout d'une nouvelle sous-tâche de gestion de fédération appelée "Specify primary server" qui permet aux administrateurs de spécifier un nouveau serveur primaire pour la ferme AD FS.
• Ajout d'une nouvelle tâche de gestion de fédération appelée "Manage servers" qui a des sous-tâches pour déployer un serveur AD FS, déployer un serveur Web Application Proxy, et spécifier le serveur primaire.
• Ajout d'une nouvelle tâche de gestion de la fédération appelée "View federation configuration" qui affiche les paramètres AD FS actuels. (En raison de cet ajout, les paramètres AD FS ont été supprimés de la page "Review your solution".).

Cette version comprend les corrections suivantes :

• Problème d'erreur de synchronisation résolu pour le scénario où un objet utilisateur prenant en charge son objet de contact correspondant a une auto-référence (par exemple, l'utilisateur est son propre manager).
• Pour la mise à niveau automatique, si une application en conflit fonctionne depuis 6 heures, il l’arrête et continue la mise à niveau.
• Limite le nombre d'attributs qu'un client peut sélectionner à 100 par objet lors de la sélection des extensions de répertoire. Ceci empêchera l'erreur de se produire pendant l'exportation car Azure a un maximum de 100 attributs d'extension par objet.
• Correction d'un bug pour rendre le script AD Connectivity plus robuste
• Correction d'un bug pour rendre l'installation d'AADConnect sur une machine utilisant un service WCF Named Pipes existant plus robuste.
• Amélioration du diagnostic et du dépannage des stratégies de groupe qui ne permettent pas au service ADSync de démarrer lors de son installation initiale.
• Correction d'un bug où le nom d'affichage d'un ordinateur Windows était mal écrit.
• Correction d'un bug où le type d'OS pour un ordinateur Windows était écrit incorrectement.
• Ajout de plusieurs nouvelles cmdlets (internes) au module ADSync PowerShell.
• Correction d'un bug où les machines non-Windows 10 se synchronisaient de façon inattendue. Notez que l'effet de ce changement est que les machines non Windows 10 qui étaient précédemment synchronisés seront maintenant supprimés. Ceci n'affecte pas les fonctionnalités car la synchronisation des ordinateurs Windows n'est utilisée que pour le Hybrid Azure AD domain join, qui ne fonctionne que pour les machines Windows 10. Ce problème survenait par exemple lorsque la valeur de l'attribut userCertificate pour les périphériques non Windows 10 dans AD est renseignée. Ces périphériques dans Azure AD restent dans l'état "en attente" parce que ces versions d'OS n'ont pas été conçues pour être enregistrées avec Azure AD via AAD Sync. Dans cette version d'Azure AD Connect, AAD Sync cessera de synchroniser les ordinateurs Windows de versions antérieures avec Azure AD et supprimera également les périphériques Windows de versions antérieures précédemment mal synchronisés d'Azure AD. Veuillez noter que ce changement ne supprimera pas les périphériques Windows de versions antérieures qui ont été correctement enregistrés avec Azure AD en utilisant le package MSI. Ces périphériques continueront de fonctionner comme prévu aux fins de l'accès conditionnel basé sur les périphériques. Vous pouvez donc peut être constater qu’une partie ou la totalité des périphériques Windows de versions antérieures ont disparu d'Azure AD. Si vous voyez ces suppressions d'objets Ordinateur/Périphérique de versions antérieures dans Azure AD dépasser le Seuil de Suppression d'Exportation, il est conseillé d’autoriser ces suppressions.

Plus d’informations sur les fonctionnalités et les différences : https://docs.microsoft.com/en-us/azure/active-directory/hybrid/reference-connect-version-history#14x0

Télécharger Microsoft Azure Active Directory Connect

Voilà une bonne nouvelle qui risque de ravir nombre de personnes, l’application Android Microsoft Authenticator supporte la sauvegarde et la restauration depuis le Cloud. Ceci permet donc la sauvegarde des comptes/identifiants vers le Cloud et de les transférer facilement vers un nouveau périphérique.

Vous devez pour cela :

• Utiliser l’application en version 6.6.0 ou +.
• Activer la sauvegarde dans les paramétrages de l’application
• Lors de la réinstallation de l’application, sélectionnez l’option commencer la restauration/Begin Recovery.

Plus d’informations sur Cloud backup and recovery for the Microsoft Authenticator app on Android now available