Vous pouvez peut-être rencontrez ce problème si vous décidez d’installer le client System Center Configuration Manager via Microsoft Intune en utilisant la Cloud Management Gateway (CMG). Vous observez les messages suivants dans les fichiers de journalisations :

Fail to get AADToken with system account, enumerate all logged users
Impersonating to user 'S-1-12-1-4252556605-1289310833-1819726501-980362358' for getting AAD token...
Getting AAD (user) token with: ClientId = c0063a1e-0982-4909-9129-081363b86584, ResourceUrl = http://sccmwebapp.domaineonmicrosoft.com, AccountId = 5D2A840C-77A2-4C6F-B15E-7766D5974C50
Retrieved AAD token for AAD user 'fd78dd3d-5271-4cd9-a5d2-766c76246f3a'
Getting CCM Token from https:// DOMAINE.CLOUDAPP.NET/CCM_Proxy_ServerAuth/72759400537927937/CCM_STS
Getting AAD (device) token with: ClientId = c0063a1e-0982-4909-9129-081363b86584, ResourceUrl = http://sccmwebapp.domaineonmicrosoft.com, AccountId = 5D2A840C-77A2-4C6F-B15E-7766D5974C50
WAM token request failed. Status 5, Details 'AAD WAM extension error'
Failed to get AAD token.. No more connections can be made to this remote computer at this time because there are already as many connections as the computer can accept. (Error: 80070047; Source: Windows)
Fail to get AADToken with system account, enumerate all logged users
Impersonating to user 'S-1-12-1-4252556605-1289310833-1819726501-980362358' for getting AAD token...
Getting AAD (user) token with: ClientId = c0063a1e-0982-4909-9129-081363b86584, ResourceUrl = http://sccmwebapp.Customerdomainonmicrosoft.com, AccountId = 5D2A840C-77A2-4C6F-B15E-7766D5974C50
Retrieved AAD token for AAD user 'fd78dd3d-5271-4cd9-a5d2-766c76246f3a'
Getting CCM Token from https:// DOMAINE.CLOUDAPP.NET/CCM_Proxy_ServerAuth/72759400537927937/CCM_STS
MapNLMCostDataToCCMCost() returning Cost 0x1
GET 'https://DOMAINE.CLOUDAPP.NET/CCM_Proxy_ServerAuth/72759400537927937/CCM_STS'
GetSSLCertificateContext failed with error 0x87d00281
client certificate is not provided.
Failed to successfully complete WinHttp request. (StatusCode at WinHttpQueryHeaders: 500), StatusText: 'CMGConnector_InternalServerError'RetrieveTokenFromStsServer failed with error 0x87d00215 MapNLMCostDataToCCMCost() returning Cost 0x1
Client is not allowed to use PKI issued certificate or AAD token thus it can not talk to HTTPS server.
GetHttpRequestObjects failed for verb: 'CCM_POST', url: 'https://DOMAINE.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72759400537927937/ccm_system/request'
GetDPLocations failed with error 0x80004005
Failed to get DP locations as the expected version from MP 'https://DOMAINE.CLOUDAPP.NET/CCM_Proxy_MutualAuth/72759400537927937. Error 0x80004005
Failed to get client version for sending state messages. Error 0x8004100e
Params to send '5.0.8634.1813 Deployment Error: 0x0, Client is not allowed to use PKI issued certificate or AAD token thus it can not talk to HTTPS server.

Ce problème survient avec System Center Configuration Manager 1802 ou plus. A partir de cette version, Microsoft requiert un Management Point configuré pour fonctionner avec du HTTPS afin de sécuriser la communication du token AAD. Vous devez donc ajouter un Management Point HTTPS dans votre environnement.

Microsoft vient de proposer une nouvelle CTP pour le pack d’administration ou Management Pack (MP) SCOM pour superviser les composants pour SQL Server 2017 en version 7.0.8.0. Les Management Packs proposés supportent les fonctionnalités suivantes :

• Microsoft SQL Server 2017 Reporting Services
• Microsoft SQL Server 2017 Analysis Services

Télécharger Microsoft System Center Management Packs (Community Technology Preview) for SQL Server 2017+ Reporting Services and Analysis Services

Microsoft vient de mettre à jour (7.0.7.0) le pack d’administration ou Management Pack (MP) SCOM pour superviser SQL Server 2008, 2008 R2 et 2012. Il fonctionne avec SCOM 2012 SP1 ou plus. Cette nouvelle version apporte les éléments suivants :

• Correction : Dans certains environnements, les workflows d’espace de base de données échouent quand une seconde base de données n’est pas lisible.
• Correction : La règle d’alerte « The agent is suspect. No response within last minutes” ne permet pas d’attraper les événéments appropriés dû à la mauvaise source.
• Correction : Le moniteur « DB File Space » du Management Pack SQL Server 2008 lève des événements en erreur due à un caractère $ non nécessaire dans la configuration de l’alerte

Télécharger

• Microsoft System Center Management Pack for SQL Server
• Microsoft System Center Management Pack for SQL Server Dashboards

Microsoft vient de publier une nouvelle Preview (1.34.6.0) du client pour son service Microsoft Azure Information Protection. Parmi les changements sur le client, on retrouve :

• Prise en charge de nouveaux types d'informations sensibles pour vous aider à classer les documents contenant des informations personnelles.
• Prise en charge de la labelisation pour le format Strict Open XML Document dans les fichiers Word, Excel et PowerPoint.
• Prise en charge de la norme ISO pour le chiffrement des PDF, en configurant une nouvelle option avancée du client. Lorsque cette option est configurée, les documents PDF que vous protégez conservent leur extension de nom de fichier.pdf (plutôt que de passer à.ppdf) et peuvent être ouverts par des lecteurs PDF qui prennent en charge cette norme ISO.
• Prise en charge des fichiers qui ont été protégés par Secure Islands lorsque ces fichiers ne sont pas des documents PDF et Office. Par exemple, des fichiers texte et images protégés. Ou, les fichiers qui ont une extension de nom de fichier.pfile. Ce support permet de nouveaux scénarios, tels que le scanneur Azure Information Protection qui permet d'inspecter ces fichiers à la recherche d'informations sensibles et de les ré-étiqueter automatiquement pour Azure Information Protection.
• Lorsque vous classifiez et protégez en utilisant PowerShell ou le scanneur, les métadonnées des documents Office ne sont pas supprimées ou chiffrées.
• L'affichage des e-mails à l'aide des icônes de flèche Élément suivant et Élément précédent sur la barre d'outils Accès rapide affiche l'étiquette correcte pour chaque e-mail.
• Les permissions personnalisées prennent en charge les adresses électroniques des destinataires qui contiennent une apostrophe.
• L'environnement informatique s'initialisera avec succès (bootstrap) lorsque cette action est lancée en ouvrant un document protégé stocké dans SharePoint Online.
• Plusieurs correctifs importants.

Parmi les changements sur le scanneur, on retrouve 

• Nouvelle cmdlet, Update-AIPScanner : Requis pour fonctionner une fois après la mise à niveau de la version 1.26.6.0 ou antérieure.
• Nouvelle cmdlet, Get-AIPScannerStatus : Obtient l'état actuel du service pour le scanner.
• Nouvelle cmdlet, Start-AIPScan : Demande au scanneur de démarrer un cycle d’analyse ponctuel lorsque l'horaire est réglé sur manuel.
• SharePoint Server 2010 est pris en charge pour les clients qui ont étendu le support de cette version de SharePoint.
• Pour les documents protégés dans les bibliothèques SharePoint, si le paramètre DefaultOwnerparameter n'est pas utilisé pour le référentiel de données, la valeur SharePoint Editor est maintenant utilisée comme valeur par défaut au lieu de la valeur Author.
• Les rapports du scanneur incluent "Dernière modification par" pour les documents Office.
• Pour le scanneur, la liste d'exclusion par défaut inclut maintenant les fichiers.rtf

Télécharger Azure Information Protection Client Preview

Microsoft a publié un changement (MC145129) sur la gestion des périphériques mobiles (MDM) avec Microsoft Intune en mode autonome ou hybride (avec SCCM) dans le Message Center du portail Office 365.

Dans la version de septembre, Microsoft Intune intégrera le nouveau paramètre Change password at next auth pour les périphériques exécutant macOS 10.13 ou plus.

Avant l'introduction de ce paramètre, les fournisseurs de MDM n'avaient aucun moyen de vérifier que le code d'accès d'un appareil avait été modifié pour assurer la conformité. Les stratégies de configuration et de conformité d'Intune validaient uniquement au prochain changement de mot de passe sur l'appareil, afin d’être marqué comme conforme. Les utilisateurs macOS recevront une demande de mise à jour de leur mot de passe lors de l'intégration de cette nouvelle fonctionnalité Apple, même si leur mot de passe est déjà conforme.

Maintenant que l'Apple a introduit ce paramétrage, Intune peut forcer les utilisateurs à mettre à jour leur mot de passe à un mot de passe conforme lorsqu'une stratégie de mot de passe est poussée. Si vous bloquez les ressources de l'entreprise jusqu'à ce que l'appareil soit conforme, sachez que vos utilisateurs finaux peuvent être empêchés d'accéder aux ressources de l'entreprise jusqu'à ce qu'ils réinitialisent leur mot de passe. À l'avenir, toutes les mises à jour des stratégies de configuration et de conformité des mots de passe obligeront les utilisateurs ciblés à mettre à jour leurs mots de passe.

Microsoft a publié une nouvelle version (Juillet 2018) de SQL Operations Studio. Pour rappel ces outils sont disponibles depuis Windows, macOS, et Linux pour permettre de gérer SQL Server, Azure SQL DB, et Azure SQL Data Warehouse.

Cette version inclut les éléments suivants :

• Configuration de l’agent SQL Server :
  • Ajout de vue pour les alertes, les opérateurs, et proxies
  • Ajout de boite de dialogue pour de nouveaux jobs, de nouvelles étapes de job, de nouvelles alertes, et de nouveaux opérateurs.
  • Ajout d’options sur le clic droit pour supprimer un job, supprimer une alerte et supprimer un opérateur
  • Ajout de visualisation Previous Runs.
  • Ajout de filtres pour chaque nom de colonne.
• Améliorations de SQL Server Profiler.
  • Ajout de raccourcis clavier pour lancer et démarrer/arrêter rapidement Profiler.
  • Ajout de 5 modèles par défaut pour visualiser les événements étendus.
  • Ajout du nom de connexion Serveur/Base de données
  • Ajout de la prise en charge des instances d’Azure SQL Database
  • Ajout d'une suggestion pour quitter Profiler lorsque l'onglet est fermé et que Profiler est toujours en cours d'exécution.
• Publication de l’extension communautaire Combine Scripts dans l’Extensions Manager.
• Extensibilité des boites de dialogue et des assistants
• Continuer à corriger les problèmes remontés via GitHub.

Plus d’informations : https://cloudblogs.microsoft.com/sqlserver/2018/07/19/the-july-release-of-sql-operations-studio-is-now-available/

Télécharger SQL Operations Studio

Microsoft vient d’annoncer le support d’Android 9 ou Pie par Microsoft Intune. Cette version d’Android a été par Microsoft à chaque Preview et est totalement supporté par les stratégies de protection des applications (MAM) ainsi que la gestion des périphériques mobiles (MDM).

Microsoft rappelle quelques éléments :

• Si vous êtes un développeur, vous devez utiliser la dernière version du SDK Intune.
• Si vous êtes un administrateur ou un développeur qui a utilisé une version antérieure de l’outil d’encapsulation d’application Intune (Intune App Wrapping Tool), l’équipe Intune va publier une nouvelle mise à jour d’ici quelques semaines afin de faire fonctionner vos applications métiers avec Android P.
• Microsoft rappelle qu’il faut encourager vos utilisateurs à mettre à jour le portail d’entreprise, le navigateur géré (Managed Browser) et toutes les applications MAM compatibles. Les dernières versions sont nécessaires pour le fonctionnement avec Android P.

Pour les entreprises qui utilisent le MDM de Microsoft Intune :

• L’assistant Company Access Setup peut ne pas fonctionner correctement sur un périphérique qui exécute une version préliminaire d’Android P. Microsoft va corriger le problème en août sur le portail Intune.
• Il y a un changement d’icône au niveau des profils de travail (Work Profiles) dans Android P pour Android Enterprise.

Source : https://blogs.technet.microsoft.com/intunesupport/2018/08/07/support-tip-intune-support-for-android-p/

Microsoft vient de publier un Management Pack pour permettre la configuration ou la reconfiguration de la connexion entre System Center Operations Manager (2012 R2/2016/1801) et Operations Management Suite (OMS). Microsoft a en effet intégré de nouvelles APIs dans OMS et ce Management Pack permet leur utilisation pour créer la connexion.

Pour rappel, System Center Operations Manager (SCOM) fait partie de la gamme System Center, il propose une supervision souple et évolutive de l’exploitation au niveau de toute l’entreprise, réduisant la complexité liée à l’administration d’un environnement informatique, et diminuant ainsi le coût d’exploitation. Ce logiciel permet une gestion complète des événements, des contrôles proactifs et des alertes, et assure une gestion des services de bout en bout. Il établit des analyses de tendance et des rapports, et contient une base de connaissances sur les applications et le système.

Télécharger :

• Micorsoft System Center 2012 R2 Operations Manager Management Pack to configure Operations Management Suite
• Microsoft System Center 2016 Operations Manager Management Pack to configure Operations Management Suite
• Microsoft System Center Operations Manager 1801 Management Pack to configure Operations Management Suite

Un problème semble toucher de plus en plus d’entreprises qui utilisent System Center Configuration Manager Current Branch pour mettre à jour le client Office 365 ProPlus. Dans ce cas de figure, vous pouvez voir le téléchargement de la mise à jour bloquée à 50% de téléchargement. La mise à jour finit ensuite par échouer.

Le problème est connu de Microsoft et concerne principalement Office lui-même. Le correctif est planifié pour Août 2018.

En attendant une des solutions de contournement qui peut permettre de débloquer la situation revient à renommer ou supprimer le cache de téléchargement dans C:\Program Files (x86)\Microsoft Office\Updates\Download.

Microsoft vient d’annoncer la mise à disposition d’un nouvel ensemble de fonctionnalités pour Microsoft Intune.

Les fonctionnalités suivantes sont ajoutées :

Enregistrement des périphériques

• [Windows 10] Le portail d’entreprise permet d’initier des synchronisations directement depuis la barre de tâches ou le menu démarrer via une action de clic droit et les jump lists. On retrouve une option Sync this device qui ouvre la page settings de Windows et initie une synchronisation.
• [Windows 10] Nouvelles expériences de navigation sur le portail d’entreprise de Windows permettant de changer de la vue par Tuiles à la vue Détails. La nouvelle vue liste des détails sur les applications comme le nom, l’éditeur, la date de publication et l’état d’installation. Plus d’informations sur : What's new in the UI.
• [Windows 10] Amélioration de l’expérience quand un gestionnaire d’enregistrement de périphérique (DEM) se connecte au portail d’entreprise. L’application liste maintenant uniquement les périphériques en cours d’exécution du DEM. Ceci réduit les timeouts précédents.
• [Android] Par défaut, les périphériques Android enregistrés à l'aide de Samsung Knox Mobile Enrollment sont maintenant marqués comme d’entreprise (Corporate). Vous n'avez pas besoin d'identifier manuellement les appareils de l'entreprise en utilisant IMEI ou les numéros de série avant de les inscrire en utilisant Knox Mobile Enrollment.

Gestion du périphérique

• [Général] Vous pouvez maintenant supprimer plusieurs périphériques à la fois sur la tuile des périphériques. Choisissez Devices > All devices > sélectionnez les périphériques à supprimer puis Delete. Pour les périphériques qui ne peuvent pas être supprimés, une alerte s'affiche.

Configuration du périphérique

• [Général] Microsoft a intégré une API Java qui permet aux autorités de certification tierces d'intégrer Intune et SCEP. Ensuite, les utilisateurs peuvent ajouter le certificat SCEP à un profil et l'appliquer aux périphériques.
• [Général] Support de S/MIME pour le chiffrement et la connexion d’utilisateurs sur plusieurs périphériques. Vous pouvez utiliser un nouveau profile de certificats : Device configuration > Profiles > Create profile > plateforme > PKCS imported certificate. Le certificat est ensuite déployé à plusieurs périphériques pour un même utilisateur. Ceci est supporté sur Windows 10, Windows 10 Mobile, macOS, iOS et Android :
  • Le profil email iOS natif prend en charge l'activation du chiffrement S/MIME à l'aide de certificats importés au format PFX.
  • L'application email native sur les périphérique Windows 10 Mobile utilise automatiquement le certificat S/MIME.
  • Les certificats privés peuvent être délivrés sur plusieurs plates-formes. Mais toutes les applications de messagerie ne prennent pas en charge S/MIME.
  • Sur d'autres plates-formes, vous devrez peut-être configurer manuellement l'application de messagerie pour activer S/MIME.
  • Les applications de messagerie qui prennent en charge le chiffrement S/MIME peuvent gérer la récupération des certificats pour le chiffrement de messagerie S/MIME d'une manière qu'un MDM ne peut pas prendre en charge, comme la lecture à partir de la liste de certificats de leur éditeur.
• [Général] Vous pouvez maintenant configurer si les navigateurs de Kiosk affichent ou non le bouton End Session. Si le paramètre est activé, lorsqu'un utilisateur clique sur le bouton, l'application demande une confirmation pour mettre fin à la session. Une fois confirmé, le navigateur efface toutes les données de navigation et revient à l'URL par défaut.
• [macOS] Vous pouvez créer une stratégie de conformité pour vérifier l’état du pare-feu sur macOS 10.12 ou plus via Device compliance > Policies > Create policy > Platform: macOS > System security. On retrouve les modes :
  • Firewall : Configure la façon dont les connexions entrantes sont gérées dans votre environnement.
  • Incoming connections: Bloquz toutes les connexions entrantes sauf celles requises pour les services Internet de base, tels que DHCP, Bonjour et IPSec. Ce paramètre bloque également tous les services de partage.
  • Stealth mode : Active le mode furtif pour empêcher l'appareil de répondre aux demandes de palpage. L'appareil continue de répondre aux demandes entrantes d'applications autorisées.
• [Windows 10] Vous pouvez maintenant créer des profils de configuration WifI directement dans Intune sans avoir à utiliser un fichier XML.
• [Windows 10] Les anciens profils Kiosk – Obsolete sont grisés et ne peuvent pas être changés.
• [Windows 10] Il devient possible de créer un profil de configuration eSIM cellular. Vous pouvez importer un fichier contenant les codes d'activation cellulaire fournis par votre opérateur mobile. Vous pouvez ensuite déployer ces profils sur vos périphériques Windows 10 compatibles eSIM LTE, tels que le Surface Pro LTE et d'autres périphériques compatibles eSIM.

Gestion des applications

• [Windows 10] Il devient plus facile d’éditer les déploiements d’application Office 365 Pro Plus. Il n’est donc plus nécessaire de supprimer le déploiement pour changer des propriétés.
• [Windows 10] Les extensions de fichiers pour les applications Windows permettent maintenant de déployer des .msix et .msixbundle en plus des .msi, .appx, et .appxbundle. Vous pouvez les ajouter en naviguant dans Mobile apps > Apps > Add. Vous sélectionenz le type d’application et vous pouvez ensuite uploader le fichier.
• [macOS] Support du déploiement d’applications métiers pour macOS comme requis ou disponible avec enregistrement. Les utilisateurs peuvent voir les applications disponibles via le portail d’entreprise pour macOS ou via le site web du portail d’entreprise.
• [iOS] Support des applications intégrées (par exemple Safari) pour le mode Kiosk.

Plus d’informations sur : https://docs.microsoft.com/en-us/intune/whats-new

Microsoft va proposer un événement de questions/réponses sur Microsoft Teams. Cet évènement aura lieu le jeudi 9 août de 18h à 19h (heure française). Ask Microsoft Anything est une belle opportunité pour poser des questions sur Microsoft Planner avec une réponse directe.

Vous devez être membre de Tech Community pour poster vos questions via l’adresse : https://aka.ms/teamsama

Source : https://techcommunity.microsoft.com/t5/Microsoft-Teams-AMA/Announcing-a-Microsoft-Teams-AMA/m-p/

L’équipe du support Microsoft Intune a fournit la procédure permettant de s’inscrire au programme Insider permettant d’obtenir l’accès aux versions préliminaires du portail d’entreprise de Microsoft Intune pour macOS. Ceci peut être particulièrement intéressant pour les entreprises qui souhaitent tester les changements ou voir les adaptations d’interface afin d’informer les utilisateurs.

Pour ce faire, vous devez :

• Installer le portail d’entreprise depuis le site web suivant ou depuis https://macadmins.software/
• Microsoft AutoUpdate doit automatiquement se lancer après l’installation. Vous pouvez aussi le lancer depuis le portail d’entreprise via le menu Help – Check for Updates.
• Lorsque Microsoft AutoUpdate se lance, vous pouvez cocher la case Join the Office Insider program.
• Sélectionnez le cercle de distribution Office Insider Slow et cliquez sur Check for updates.

Notez que cette configuration s’applique aussi à Office for Mac.

Source : https://blogs.technet.microsoft.com/intunesupport/2018/07/13/use-microsoft-autoupdate-for-early-access-to-the-macos-company-portal-app/

Microsoft a annoncé la dépréciation et le retrait de la version 8.0 du client Remote Desktop pour macOS pour le 1^er septembre. Microsoft recommande l’usage de la version 10 du client Remote Desktop. Cette dernière est disponible depuis l’AppStore.

La version 10.0 apporte notamment les nouveautés suivantes :

• Une nouvelle expérience utilisateur
• Les redirections de périphériques dans la session distante
• L’utilisation des raccourcis macOS dans la session distante (couper/copier/coller)

Vous pouvez importer les configurations de la version 8.0 si vous utilisez la version 8.0.43 via la fonction import connections.

Source : https://cloudblogs.microsoft.com/enterprisemobility/2018/07/13/deprecation-of-the-remote-desktop-8-0-client-for-macos/

Brandon Linton (MSFT) a publié un billet pour parler d’un problème qui touche la création d’images Windows 7 SP1 ou Windows Server 2008 R2 SP1. Le problème survient si vous installez Windows Management Framework 5.1 et que vous exécutez un sysprep. Vous recevez alors les erreurs :

Sysprep_Generalize_MiStreamProv: RegDeleteValue for target uri failed with error = 2[gle=0x00000002]

Sysprep_Generalize_MiStreamProv: RegDeleteValue for full payload time failed with error = 2[gle=0x00000002]

Pour contourner le problème, vous devez passer la valeur de registre LastFullPayloadTime à 0 (DWORD) au niveau de la clé HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\StreamProvider

Source : https://blogs.technet.microsoft.com/brandonlinton/2018/05/03/sysprep-fails-if-installing-windows-management-framework-5-1/

Microsoft a publié un PDF comportant toutes les commandes Windows sous forme d’une liste alphabétique. Ceci peut être particulièrement utile pour du scripting. On y retrouve la syntaxe, les paramètres, etc. Ce fichier est une extraction de la documentation.

Télécharger Windows Commands Reference

L’équipe du support Intune a publié un billet pour rappeler l’importance des certificats APNs pour la gestion des périphériques iOS et macOS avec Microsoft Intune. L’article explique :

• A quoi servent les certificats APNs ?
• Quelle est la durée de validité ? 1 an
• Qu’est-ce qu’il se passe si vous ne renouvelez pas le certificat avant l’expiration ? Vous ne pouvez plus enregistrer de nouveaux périphériques iOS et vous pouvez expérimenter des problèmes de gestion des périphériques existants.
• Est-ce que vous devez renouveler votre certificat APN ou en obtenir un nouveau ? Vous devez le renouveler pour ne pas avoir à réenregistrer les périphériques déjà gérés.
• Comment savoir si le certificat APN va expirer ?
• Comment renouveler le certificat ?
• Si vous avez plusieurs certificats APNs, comment savoir lequel vous devez renouveler ?
• Comment changer l’identifiant Apple utilisé par le certificat APN existant ? C’est une erreur assez commune. Plutôt que d’utiliser un compte générique, c’est celui d’un membre du support informatique qui est utilisé. Que se passe-t-il s’il quitte l’entreprise. Vous pouvez contacter Apple pour changer l’Apple ID associé au certificat.

Pour en apprendre plus : Intune and the APNs certificate: FAQ and common issues

Windows Defender Advanced Threat Protection est un service initialement inclus dans Windows 10 proposant une solution d’analyse, d’investigation et de réponse (forensic) permettant d’améliorer la détection et l’alerting. Il offre des actions de réponse et une vision courante des attaques possibles. Il permet de répondre à des attaques comme celles de ransomwares, malwares, etc.

Une des nouvelles fonctionnalités permet de chercher des traces de menaces sur l’ensemble des machines. Threat Hunting permet de lancer des actions sur tous les éléments constitutifs d’une machine (fichiers, dossiers, registre, communications, etc.)

Microsoft a mis à disposition des exemples de requêtes permettant d’utiliser cette fonctionnalité : https://github.com/Microsoft/WindowsDefenderATP-Hunting-Queries

Par exemple pour trouver les machines où la trace (hash) d’un fichier a été détecté, vous pouvez utiliser la requête :

// Find the machines on which this file was seen
// TODO - set file hash to be a SHA1 hash of your choice...
let fileHash = "e152f7ce2d3a4349ac583580c2caf8f72fac16ba";
find in (FileCreationEvents, ProcessCreationEvents, MiscEvents, RegistryEvents, NetworkCommunicationEvents, ImageLoadEvents)
where SHA1 == fileHash or InitiatingProcessSHA1 == fileHash
project ComputerName, ActionType, FileName, InitiatingProcessFileName, EventTime, SHA1, InitiatingProcessSHA1
| project ComputerName, ActionType, EventTime,
          FileName = iff(SHA1 == fileHash, FileName, InitiatingProcessFileName),
          MatchedSide=iff(SHA1 == fileHash, iff(InitiatingProcessSHA1 == fileHash, "Both", "Child"), "Parent")
| summarize makeset(ActionType), FirstEventTime=min(EventTime), (LastEventTime, LastActionType)=arg_max(EventTime, ActionType) by FileName, MatchedSide, ComputerName
| top 1000 by LastEventTime desc
| sort by ComputerName, LastEventTime desc

Ils sont sortis il y a plusieurs mois mais il est toujours bien de le rappeler les modèles d’administrations (ADMX, ADML) Active Directory pour Windows 10 1803 (Spring Creator Updates) sont disponibles. Les modèles d’administrations pour Active Directory permettent d’ajouter les paramètres permettant de personnaliser les paramétrages et valeurs de registre dédiées à Windows 10.

Télécharger Administrative Templates (.admx) for Windows 10 Creators Update

Depuis System Center Configuration Manager 1702, Microsoft permet d’activer une authentification à facteurs multiples (MFA) afin de faire des appels sur le SMSProvider et par conséquent utiliser la console.

Pour ce faire, vous devez :

1. Ouvrir WBEMTEST
2. Vous connecter à l’espace de nom root\sms_\site_<code de site>
3. Sélectionner Execute Method…
4. Dans le champ Object Path, entrez sms_site puis cliquez sur OK
5. Dans la liste Method, sélectionnez SetAuthenticationLevel
6. Cliquez sur Edit In Parameters…
7. Editez le propriété AuthenticationLevel en passant à 10 (authentification par PIN ou Smart Card) ou 20 (Authentification par PIN uniquement)
8. Editez la propriété ExceptionList pour spécifier des exceptions (comptes de service, etc.) en ajoutant les SIDs des utilisateurs ou des groupes de sécurité.
9. Cliquez ensuite sur Execute! et Dismiss

Plus d’informations sur l’article : Enable multi-factor authentication for SMS Provider calls

Microsoft vient de mettre à disposition la version finale (5.00.8692.1000) de System Center Configuration Manager 1806. ConfigMgr a subi une refonte de sa structure pour permettre des mises à jour aisées de la même façon que l’on peut le voir avec Windows 10. C’est pourquoi la fonctionnalité Updates and Servicing (nom de code Easy Setup) a été introduite. Vous devez donc utiliser cette dernière pour mettre votre site System Center Configuration Manager 1706. Si vous utilisez System Center 2012 Configuration Manager, vous devez mettre à jour votre site vers System Center Configuration Manager 1702 avant de pouvoir passer à cette version.

Note : Un script PowerShell est disponible pour permettre d’opter pour la première vague de déploiement.

System Center Configuration Manager 1806 comprend les nouveautés suivantes :

Administration

• Haute disponibilité du rôle serveur de site (Site Server). Il devient possible d’installer un site primaire additionnel dans un mode passif. Ce dernier peut être utilisé immédiatement si nécessaire. La base de données de site doit être distante des deux serveurs de site. La promotion du site primaire passif en actif, se fait manuellement. Un site primaire en mode passif :
  • Utilise la même base de données de site que le serveur de site actif.
  • Reçoit une copie de la librairie de contenu du serveur de site actif qui reste ensuite synchronisé.
  • N’écrit pas de données dans la base de données de site tant qu’il est en mode passif.
  • Ne supporte pas l’installation ou la suppression de rôles de système de site optionnel dès lors qu’il est en mode passif.
  • Peut-être On-Premises ou dans le Cloud Azure.
  • Doit être dans le même domaine que le serveur de site actif.
• Package Conversion Manager est maintenant intégré dans Configuration Manager afin de permettre de convertir des packages SCCM 2007 vers les applications Configuration Manager Current Branch. Cet outil avait été introduit dans System Center 2012 Configuration Manager pour faciliter la migration.
• CMTrace est maintenant installé avec le client Configuration Manager dans le répertoire %WinDir%\CCM\cmtrace.exe. Néanmoins, il n’est pas enregistré automatiquement avec Windows pour ouvrir les extensions de fichiers .log.
• La liste des périphériques dans Asset and Compliance de la console d’administration affiche maintenant par défaut l’utilisateur actuellement connecté. Cette valeur est remontée par les informations de l’état du client. La valeur est nettoyée lorsque l’utilisateur se déconnecte.

• La fonctionnalité Management Insights permet d’obtenir des informations sur l’état de l’environnement en fonction des données de la base de données.
  • Cette version ajoute les règles suivantes :
    • Les objets de configuration inutilisés : Les objets de configuration qui ne font pas partie d'une ligne de base de configuration et qui datent de plus de 30 jours.
    • Les images de démarrage (boot images) inutilisées : Images de démarrage non référencées pour le démarrage PXE ou l'utilisation d'une séquence de tâches.
    • Les groupes de limites sans système de site assigné : Sans systèmes de site affectés, les groupes de limites ne peuvent être utilisés que pour l'affectation de site.
    • Les groupes de limites sans membres : Les groupes limites ne sont pas applicables pour l'assignation de site ou la recherche de contenu s'ils n'ont pas de membres.
    • Les points de distribution ne servant pas de contenu aux clients : Les points de distribution qui n'ont pas servi de contenu aux clients au cours des 30 derniers jours. Ces données sont basées sur les rapports des clients sur l'historique de leurs téléchargements.
    • Les mises à jour expirées trouvées : Les mises à jour expirées ne s'appliquent pas au déploiement.
  • Une option permet de lancer des actions sur les règles Management Insights. Selon la règle, cette action présente l'un des comportements suivants :
    • Naviguer automatiquement dans la console jusqu'au nœud où vous pouvez réaliser l’action.
    • Naviguer jusqu'à une vue filtrée en fonction d'une requête.

• Les outils serveur Configuration Manager et les outils client sont maintenant inclus dans la Technical Preview. Retrouvez-les dans le dossier cd.latest\SMSSETUP\Tools sur le serveur du site. Aucune autre installation n'est nécessaire.

• Pour réduire le nombre d'objets découverts, vous pouvez maintenant exclure des conteneurs spécifiques de la découverte du système Active Directory. Cette fonctionnalité est le résultat des feedbacks UserVoice.
• Les informations sur l'utilisateur principal sont désormais visibles lorsque vous consultez les membres d'une collection sous Assets and Compliance ou Device Collections.
• Support d’Azure Resource Manager par le Cloud Distribution Point. Lors de la création d'une instance Cloud Distribution Point, l'assistant offre maintenant l'option de créer un déploiement Azure Resource Manager. Azure Resource Manager est une plate-forme moderne pour la gestion de toutes les ressources de la solution comme une seule entité, appelée groupe de ressources. Lors du déploiement d'un Cloud Distribution Point avec Azure Resource Manager, le site utilise Azure Active Directory (Azure AD) pour s'authentifier et créer les ressources Cloud nécessaires. Ce déploiement modernisé ne nécessite pas le certificat de gestion classique Azure.
• Lorsque vous utilisez l’installation poussée des clients (client push) pour installer le client Configuration Manager, le serveur du site crée une connexion à distance avec le client pour démarrer l'installation. A partir de cette version, le site peut exiger l'authentification mutuelle de Kerberos en ne permettant pas de revenir à NTLM avant d'établir la connexion. Cette amélioration permet de sécuriser la communication entre le serveur et le client.
• Les entreprises qui utilisent Windows AutoPilot pour provisionner Windows 10 sur les périphériques joints à Azure Active Directory qui sont connectés au réseau de l’entreprise (On-Premises). Pour installer ou mettre à niveau le client Configuration Manager sur ces périphériques, vous n'avez plus besoin d'un Cloud Distribution Point ou d'un point de distribution On-Prem configuré pour permettre aux clients de se connecter anonymement. Activez plutôt l'option du site pour utiliser les certificats générés par Configuration Manager pour les systèmes de site HTTP, ce qui permet à un client joint à un domaine cloud de communiquer avec un point de distribution HTTP On-Prem.
• Amélioration du support des communications clientes sécurisées avec Azure Active Directory (Azure AD). On retrouve notamment les nouveautés suivantes :
  • La sécurisation des communications client sans avoir besoin de certificats d’authentification de serveur délivrés via une PKI.
  • Les clients peuvent accéder contenu de manière sécurisée sans avoir besoin de recourir à un compte d’accès réseau. Note pour l’instant le déploiement de système d’exploitation requiert toujours un compte d’accès réseau.
• Un nouveau tableau de bord Cloud Management fournit une vue centralisée pour l'utilisation de la Cloud Management Gateway (CMG). Lorsque le site est embarqué avec Azure AD, il affiche également des données sur les utilisateurs et les périphériques dans le Cloud. Cette fonctionnalité inclut également CMG connection analyzer pour une vérification en temps réel afin de faciliter le dépannage. L'utilitaire dans la console vérifie l'état actuel du service et le canal de communication par l'intermédiaire du CMG Connection Point vers tous les Management Points qui permettent le trafic CMG.
• Amélioration de la Cloud Management Gateway :
  • La commande d’installation du client Configuration depuis Internet via la CMG demande moins de propriétés : CCMHOSTNAME et SMSSITECODE dans tous les cas auxquelles il faut ajouter AADCLIENTAPPID et ADDRESOURCEURI pour l’authentification Azure AD. Vous pouvez éventuellement ajouter SMSMP lorsque le client revient sur le réseau interne.
  • Il est maintenant possible de télécharger du contenu depuis la CMG et non plus uniquement un Cloud Distribution Point. Vous devez activer l’option suivante sur la CMG : Allow CMG to function as a cloud distribution point and serve content from Azure storage
  • Lorsque vous créez une CMG pour authentifier des clients Azure AD, il n’est plus nécessaire de spécifier un certificat racine. Ce prérequis reste toujours nécessaire si vous utilisez l’authentification via des certificats.
• Vous pouvez maintenant effectuer des copier/coller depuis le panneau Asset details des vues Deployment et Distribution Status de l’espace Monitoring.
• Amélioration du tableau de bord Surface en affichant maintenant une liste de périphériques pertinents lorsque des sections de graphique sont sélectionnées. Vous pouvez cliquer sur la tuile Percent of Surface Devices afin d’ouvrir une liste de périphériques surface. Vous pouvez cliquer sur une barre dans la tuile Top Five Firmware Versions afin d’ouvrir une liste des périphériques surface avec cette version de firmware spécifique. Lorsque vous visualisez ces listes de périphériques à partir du tableau de bord Surface, vous pouvez cliquer avec le bouton droit de la souris sur un périphérique et effectuer des actions.

Co-Management

• Support de l’interconnexion de plusieurs hiérarchies vers un seul tenant Azure Active Directory et Microsoft Intune
• Le Co-Management supporte maintenant la transition de
  • La configuration du périphérique par Microsoft Intune. Ceci vous laisse la possibilité de déployer des stratégies MDM tout en continuant de déployer des applications avec Microsoft Intune. La transition de cet élément déplace également la configuration de l'accès aux ressources et de protection des clients, qui constituent un sous-ensemble de la configuration des périphériques. Lorsque vous transférez cet élément, vous pouvez toujours déployer les paramètres ConfigMgr vers des périphériques cogérés, même si Intune est l'autorité de configuration des périphériques. Cette exception peut être utilisée pour configurer les paramètres requis par votre organisation mais qui ne sont pas encore disponibles dans Intune. Spécifiez cette exception sur une baseline de configuration. Activez l'option "Always apply this baseline even for co-managed clients" lors de la création de la baseline ou dans l'onglet Général des propriétés d'une baseline existante.
  • La charge de travail Office 365 de Configuration Manager vers Microsoft Intune pour le Co-Management. Microsoft a introduit un nouvelle condition globale « Are Office 365 applications managed by Intune on the device »
  • Les applications mobiles/modernes avec Microsoft Intune tout en continuant à utiliser Configuration Manager pour déployer les applications Win32. Pour transférer la charge de travail des applications modernes, allez à la page des propriétés du Co-Management. Déplacez la barre de défilement de Configuration Manager vers Pilote ou All. Après la transition de cette charge de travail, toutes les applications disponibles déployées à partir d'Intune sont disponibles dans le portail de l'entreprise. Les applications que vous déployez à partir du Configuration Manager sont disponibles dans le Software Center.
• A partir de cette version, les périphériques co-gérés avec Microsoft Intune, synchroniseront les stratégies MDM lorsque vous initiez l’action Download computer policy depuis les notifications clientes de la console d’administration.

Inventaire et Reporting

• CMPivot est un nouvel utilitaire dans la console qui permet d'accéder en temps réel à l’état des périphériques dans votre environnement. Il lance immédiatement une requête sur tous les périphériques actuellement connectés dans la collection cible et renvoie les résultats. Vous pouvez ensuite filtrer et regrouper ces données dans l'outil. En fournissant des données en temps réel à partir de clients en ligne, vous pouvez répondre plus rapidement aux questions des entreprises, résoudre les problèmes et répondre aux incidents de sécurité. Par exemple, pour atténuer les vulnérabilités Spectre, l'une des exigences est de mettre à jour le BIOS du système. Vous pouvez utiliser CMPivot pour interroger rapidement les informations du BIOS du système et trouver les clients qui ne sont pas en conformité. Vous pouvez exécuter à partir du résultat des actions comme la prise en main à distance, l’explorateur de ressources et l’exécution de scripts.
• La consultation des rapports de conformité aux mises à jour logicielles inclut traditionnellement les données des clients qui n'ont pas récemment contacté le site. Un nouveau rapport vous permet de filtrer les résultats de conformité pour un groupe de mise à jour logicielle spécifique par clients "sains". Ce rapport montre l'état de conformité plus réaliste des clients actifs dans votre environnement. Pour afficher le rapport, accédez à Monitoring – Reporting et exécutez Compliance 9 - Overall health and compliance. Ce rapport affiche le nombre total de clients sains vs le total des clients, l’aperçu de la conformité et le TOP5 des mises à jour avec le plus de clients non conformes.
• Amélioration de l’inventaire matériel avec notamment les valeurs pour les integer larges. La limite actuelle était de 4,294,967,296 (2^32). Microsoft passe à 18,446,744,073,709,551,616 (2^64). Ce qui permet de traiter des valeurs plus larges notamment pour les éléments comme l’espace disque total.
• Dans Configuration Manager 1710, la valeur par défaut utilisée pour les vues d’inventaire étaient passée de megabytes (MB) à gigabytes (GB). Avec l’amélioration des valeurs limitées pour l’inventaire matériel (large integer), la valeur a été repassée en MB.

Gestion du contenu

• Il est maintenant possible de relocaliser la librairie de contenu sur un autre emplacement de stockage. Cela peut être sur un autre disque du serveur de site, sur un serveur séparé ou sur des disques à tolérance de panne dans un SAN. Ceci est un nouveau prérequis pour la haute disponibilité du rôle de serveur de site.
• Les Pull Distribution Points supporte les Cloud Distribution Points comme source. Le Pull DP doit avoir un accès internet et doit pouvoir communiquer avec Microsoft Azure. Ce scénario peut être utile lorsque le lien WAN est plus rapide que le lien LAN qui relie le Pull DP aux points de distribution internes.
• Microsoft permet le support de LEDBAT par les points de distribution. Windows Low Extra Delay Extra Delay Background Transport (LEDBAT) est une fonctionnalité de Windows Server pour aider à gérer les transferts réseau en arrière-plan. Pour les points de distribution fonctionnant sur les versions supportées de Windows Server, vous pouvez activer une option pour aider à ajuster le trafic réseau. Les clients n'utilisent la bande passante réseau que lorsqu'elle est disponible. Le point de distribution doit exécuter Windows Server 1709 et les clients

• Support du téléchargement partiel par la fonctionnalité Client Peer Cache pour réduire l’utilisation WAN. Les sources Client Peer Cache peuvent maintenant diviser en différentes parties pour minimiser l’impact sur le WAN. C’est le Management Point qui fournit au client le détail permettant de suivre les différentes parties du contenu. doivent utiliser Windows 10 1607.
• Les groupes de limites incluent maintenant des paramètres additionnels permettant de mieux contrôler la distribution du contenu dans l’environnement :
  • Allow peer downloads in this boundary group est activé par défaut. Le Management Point fournit alors au client la liste des emplacements de contenu incluant la liste des sources client Peer Cache. La désactivation de cette fonctionnalité peut être utile pour les clients VPN ou pour les groupes de limites importants qui ne référencent pas de points de distribution.
  • During peer downloads, only use peers within the same subnet est dépendant du paramètrage ci-dessus. Dans ce cas, le Management Point n’inclut seulement dans la liste des emplacements de contenu, les sources client Peer Cache qui sont sur le même sous-réseau. Ceci peut être significatif pour la création d’un groupe de limites très large qui englobe de plus petits groups de limites ou lorsque vous avez un seul grand groupe de limites pour tous les sites distants.

Software Center

• Le Software Center/Centre Logiciels affiche maintenant la prochaine fenêtre de maintenance planifiée. Cette information se trouve dans Installation Status où vous pouvez cliquer dans Upcoming. On retrouve la prochaine fenêtre de maintenance ainsi que les déploiements qui s’exécuteront dans cette plage.

• Vous pouvez créer un onglet personnalisé dans le Software Center/Centre Logiciels pour ouvrir une page web. Ceci permet d’afficher du contenu à l’utilisateur final comme les informations de contact, de la documentation, etc. Le Software Center utilise les composants d’Internet Explorer pour afficher la page.

• Lorsque vous utilisez le Remote Control sur un client avec plusieurs moniteurs avec différentes résolutions DPI, le curseur de la souris correspond maintenant correctement entre les moniteurs.
• Vous pouvez maintenant contrôler si le lien Open the Application Catalog web site apparaît dans le nœud Installation Status du Software Center.

Déploiement d’applications

• Vous pouvez maintenant créer un déploiement par phases (Phased Deployments) avec des phases configurées manuellement.

• Intégration de l’outil de personnalisation Office (OCT) avec l’assistant Office 365 de la console. Vous pouvez donc dynamiquement configurer les paramétrages de gestion lorsque vous créez l’application Office 365 depuis la console. Ce dernier est mis à jour dès lorsqu’une nouvelle version d’Office 365 est publiée afin de bénéficier des nouveaux paramétrages de gestion dès lors qu’ils sont disponibles.
• Les rôles du catalogue d’applications ne sont plus nécessaires pour afficher les applications disponibles en libre-service à l’utilisateur dans le Software Center. Le client utilise maintenant le Management Point pour obtenir l’information ce qui de mieux gérer la charge dans les gros environnements en utilisant les Boundary Groups.
• Vous pouvez maintenant provisionner une application moderne Windows 10 sur des périphériques pour tous les utilisateurs. Auparavant, Configuration Manager ne supportait que les applications installées pour les utilisateurs.
•  Configuration Manager supporte maintenant le déploiement d’applications avec les nouveaux packages d’application Windows 10 (MSIX) et des bundles d’application (msixbundle). La dernière version Insider (17682) de Windows 10 supporte ces nouveaux formats.

Mises à jour logicielles

• Intégration des mises à jour logiciels tiers permettant de vous abonner aux catalogues partenaires dans la console Configuration Manager et de publier les mises à jour de WSUS. Vous pouvez ensuite déployer ces mises à jour à l'aide du processus de gestion des mises à jour logicielles existantes. Ceci est l’intégration et l’amélioration de ce que System Center Updates Publisher (SCUP) faisait auparavant. Configuration Manager peut notamment automatiquement configurer le client et déployer le certificat utilisé pour signer les mises à jour logicielles.

• L’assistant de nettoyage WSUS décline maintenant les mises à jour logicielles qui sont soit expirées soit replacées selon les règles de remplacement.

• Vous pouvez maintenant filtrer les règles de déploiement automatique pour exclure les architectures comme Itanium et ARM64.

• Déploiement de mises à jour logicielles sur les périphériques sans avoir téléchargé et distribué le contenu des mises à jour logicielles sur les points de distribution. Ceci permet de gérer les scénarios avec un contenu extrêmement large ou lorsque vous souhaitez que les clients récupèrent systématiquement les mises à jour depuis Microsoft Update. Il est possible qu’un client récupère la mise à jour depuis Microsoft Update et que les autres clients viennent récupérer le contenu via les fonctionnalités BranchCache, PeerCache ou Delivery Optimization.

Déploiement de systèmes d’exploitation

• Le déploiement par phases (Phased Deployments) est intégré et propose une expérience de supervision native. A partir de l’espace Monitoring – Deployments, vous pouvez sélectionner Phased Deployment Status. Ce tableau de bord comprend des informations telles que le nombre total de périphérique ciblé dans la phase, l’état de la phase (déploiement créé, en attente, suspendue), l’état de progression du déploiement (success, In progress, Error, Requirements Not Met, Unknown).

• Le modèle de séquence de tâches pour la mise à niveau de Windows 10 inclut maintenant u nouveau groupe avec des actions recommandées à ajouter en cas d’échec dans le processus de mise à niveau. On retrouve la capacité de collecter des logs, d’exécuter des outils de diagnostic (Windows SetupDiag, etc.)
• Amélioration du serveur PXE intégré à Configuration Manager via l’option Enable a PXE responder without Windows Deployment Service. L’option créé automatiquement les exceptions dans le parefeu Windows. En outre, on retrouve une amélioration de la journalisation.
• Amélioration du support des communications clientes sécurisées. Le compte d’accès réseau (Network Access Account) n’est plus requis pour le téléchargement du contenu depuis un point de distribution dans les scénarios suivants :
  • Des séquences de tâches (OS ou personnalisées) qui s’exécutent depuis un média de démarrage ou PXE
  • Des séquences de tâches (OS ou personnalisées) qui s’exécutent depuis le Software Center
• Le produit masque les données sensibles stockées dans les variables de séquence de tâches : Dans la tâche Set Task Sequence Variable, sélectionnez la nouvelle option Do not display this value. Par exemple, lorsque vous spécifiez un mot de passe. Les comportements suivants s'appliquent lorsque vous activez cette option :
  • La valeur de la variable n'est pas affichée dans smsts.log.
  • La console Configuration Manager et le fournisseur SMS traitent cette valeur de la même manière que d'autres secrets tels que les mots de passe.
  • La valeur n'est pas incluse lorsque vous exportez la séquence de tâches.
  • L'éditeur de séquence de tâches ne lit pas cette valeur lorsque vous modifiez l'étape. Retapez la valeur pour faire des changements.
• Masquer le nom du programme pendant la tâche Run Command: Pour empêcher l'affichage ou l'enregistrement de données potentiellement sensibles, configurez la variable de séquence de tâches OSDDoNotLogCommand à TRUE. Cette variable masque le nom du programme dans le fichier smsts.log pendant une étape de séquence de tâche de ligne de commande d'exécution.
• Vous pouvez spécifier des paramètres de ligne de commande additionnels à DISM en utilisant la variable OSDInstallDriversAdditionalOptions. Vous devez pour cela activer l’option Install Drivers package via running DISM with recurse sur la tâche Apply Driver Package.
• Les tâches Enable BitLocker et Pre-Provision BitLocker incluent maintenant une option Use full disk encryption pour chiffrer l’ensemble du disque et non plus l’espace disque utilisé.

Conformité des paramétrages

• Ajout de trois paramétrages Windows Defender SmartScreen aux paramétrages de conformité pour le navigateur Microsoft Edge:
  • Allow SmartScreen permet de spécifier si SmartScreen est autorisé
  • User can override SmartScreen prompt for sites spécifie si l’utilisateur peut outrepasser l’avertissement de Windows Defender SmartScreen pour un site.
  • User can override SmartScreen prompt for files définit si l’utilisateur peut outrepasser l’avertissement de Windows Defender SmartScreen pour un fichier.
• Cette version comprend une préversion des extensions SCAP. Pour rappel, Security Content Automation Protocol (SCAP) fournit une méthode de gestion des standards afin de mesurer la conformité, la vulnérabilité. SCAP est une suite de certaines normes ouvertes qui, ensemble, offrent une méthode uniforme d'analyser les systèmes informatiques et automatiquement identifier, mesurer et évaluer les problèmes potentiels de sécurité. SCAP est une initiative gouvernementale du NIST (National Institute of Standard and Technology) afin de construire le FDCC (Federal Desktop Core Configuration).

 Plus d’informations sur cette version : What’s new in version 1806

Pour obtenir les éléments relatifs au processus de mise à jour : https://docs.microsoft.com/en-us/sccm/core/servers/manage/updates

Microsoft vient de mettre à disposition la Technical Preview 1807 (5.0.8700.1000) de System Center Configuration Manager. Pour rappel, ConfigMgr a subi une refonte de sa structure pour permettre des mises à jour aisées de la même façon que l’on peut le voir avec Windows 10. Si vous souhaitez installer cette Technical Preview, vous devez installer la Technical Preview 1804 puis utiliser la fonctionnalité Updates and Servicing (nom de code Easy Setup).

System Center Configuration Manager TP 1807 comprend les nouveautés suivantes :

Administration

• Un espace Community Hub permet maintenant aux administrateurs de télécharger et récupérer des scripts et des objets de configuration liés à Configuration Manager. Ce nœud permet aussi d’afficher la documentation du produit et de faire des retours via UserVoice.

• Il est maintenant possible de voir l’état d’activité et de synchronisation de périphériques Co-gérés avec Microsoft Intune. L’état est récupéré depuis l’Intune Data Warehouse. Le tableau de bord Client Status affiche les clients inactifs utilisant Micorsoft Intune.

Déploiement d’applications

• Il est maintenant possible de spécifier une ligne de commande de réparation pour les types de déploiement Windows Installer et Script Installer. L’option de déploiement Allow end users to attempt to repair this application permet de specifier si l’utilisateur peut réparer une application via le Software Center.

• Vous pouvez configurer des notifications emails pour les demandes d’approbation des applications déployées en libre-service. Lorsque l’utilisateur demande une application, vous recevez un email où vous pouvez approuver ou refuser la demande sans avoir à ouvrir la console. Une partie de la fonctionnalité demande l’utilisation de la Cloud Management Gateway.

Mise à jour logicielles et conformité

• Amélioration du format de sortie de la fonctionnalité de création et d’exécution de scripts. Il est maintenant possible de voir la sortie dans un état brut ou dans une structure JSON.
• Amélioration de la fonctionnalité de déploiement des mises à jour tierces pour permettre la modification des catalogues personnalisés.

Déploiement de système d’exploitation (OSD)

• Suite à des retours, il est maintenant possible de spécifier le disque utilisé pour opérer l’Offline Servicing des images d’installation de système d’exploitation (WIM). Ceci était auparavant un problème puisque ce processus pouvait consommer un nombre important d’espace disque.

Plus d’informations sur : https://docs.microsoft.com/en-us/sccm/core/get-started/capabilities-in-technical-preview-1807   

SQL Server Management Studio a été décorrélé de l’installation de SQL Server depuis la version 2016, il est maintenant possible de télécharger l’outil séparément. La version 17.8.1 a été mise à disposition et permet de se connecter de SQL Server 2008 à SQL Server 2017.

Cette nouvelle version apporte :

• Introduction de l’interface utilisateur et support des scripts pour la propriété de groupe de fichiers de la base de données AUTOGROW_ALL_FILES.  Cette propriété a été introduite dans SQL Server 2016, mais elle n'était paramétrable que via le script T-SQL.  Vous pouvez maintenant définir la propriété via une case à cocher dans la page Propriétés de la base de données -> Groupes de fichiers.
• Expérience améliorée avec Intellisense dans SQL Azure DB lorsque l'utilisateur n'a pas d'accès master.
• Scripting : Améliorations générales des performances, en particulier sur les connexions à latence élevée.
• D’autres améliorations et corrections de bugs
  • Plans de maintenance : Correction d'un problème lors de l'édition des plans de maintenance avec Sql Authentification où "Notify Operator Task" échouait lors de l'utilisation de l'authentification SQL.
  • Scripting : Correction d'un problème où les actions PostProcess dans SMO conduisaient à l'épuisement des ressources et à des échecs de connexion SQL.
  • SMO : Correction d'un problème où Table.Alter() échoue avec l'ajout d'une colonne avec une contrainte par défaut si la table a déjà des données.
  • Always Encrypted : Correction d'un problème (dans DacFx) qui causait une erreur de délai de verrouillage lors de l'activation de Always Encrypted sur une table partitionnée.

Plus d’informations sur la Release Notes

Télécharger SQL Server Management Studio (SSMS) 17.8.1

Deepam Dubey (MSFT) a publié un très bon article détaillant comment la solution Windows Analytics Upgrade Readiness collecte l’inventaire des applications. Windows Analytics est utilisé par de nombreuses entreprises pour donner une visibilité sur les applications, le matériel, l’état de mise à jour et ainsi connaître l’état de conformité de son parc. Upgrade Readiness est notamment fréquemment utilisé pour évaluer la mise à niveau de Windows 7 vers Windows 10 ou d’une build antérieure de Windows 10 vers une plus récente.

Ainsi, les données sont collectées par un composant système appelé Appraiser qui collecte les éléments suivants :

• Les informations de registre pour récupérer les entrées dans Ajout/Suppression de programmes (ARP) pour les applications
• Les répertoires Windows standard comme Program Files, Program Files (x86) et Program Data.

Ceci permet de trouver les principales applications, tout en limitant l’impact des performances sur le système.

La question est souvent posée sur les forums pour savoir si les applications virtualisées via des solutions telles qu’App-V, Citrix Xen Apps, et VMware Thin Apps sont inventoriées ? Elles le sont dès lors qu’elles ont une entrée présente dans la partie Ajout/Suppression de programmes. Une propriété « Virtualized Apps » apparait pour identifier ces applications spécifiques.

Notez pour App-V que si la bulle est streamée ou déployée pour System Center Configuration Manager, cette dernière n’est pas présente dans Ajout/Suppression de programmes.

Microsoft met à jour ce composant Appraiser via les mises à jour cumulatives mensuelles sur Windows 10 ou via des mises à jour critiques sur Windows 7 SP1 et Windows 8.1 lorsque vous avez déployez les prérequis adéquats.

Vous obtiendrez plus d’informations intéressantes sur le dépannage, les bonnes pratiques, via l’article : How does Upgrade Readiness in WA collects application inventory for your OMS workspace?

Vous l’avez surement remarqué depuis quelques semaines, il n’est plus possible de récupérer les fichiers de journalisation (logs) de l’application du portail d’entreprise de Microsoft Intune. En lieu et place, on retrouve le processus suivant :

1. L’utilisateur clique sur le menu et sélectionne Help
2. Il peut choisir Contact your IT Department puis Email Support
3. L’utilisateur peut ensuite cliquer sur Send Email & Upload Logs
4. Il peut ensuite choisir l’application utilisée pour envoyer l’email mais le contenu reste vide
5. On retrouve ensuite un numéro d’identifiant et un message annonçant que l’upload est effectué.
6. L’email que l’utilisateur peut envoyer au support, l’invite simplement à décrire son problème.

Ce changement de comporte est commun pour tout le service afin de mettre en conformité vis-à-vis des dispositions requises par la loi européenne (GDPR).

Le service envoie donc les logs directement à Microsoft qui peuvent être consultés en ouvrant un ticket au support et en communiquant l’identifiant associé.

Microsoft a mis à jour l’outil Policy Analyzer présent dans Security Compliance Toolkit (SCT). Cet outil permet l’analyse et la comparaison d’ensemble de stratégies de groupe (GPOs). La mise à jour de l’outil permet de résoudre un problème de régionalisation pour la lecture des fichiers non-anglais de paramétrages d’audit avancés. Un autre bug corrige un crash lors de la lecture d’un fichier XML de sauvegarde de GPO invalide.

Microsoft en a aussi profité pour intégrer les dernières baselines pour Windows et Office qui ont été publiés avant cette mise à jour.

Télécharger Security Compliance Toolkit