Une des nombreuses nouveautés de System Center Configuration Manager 1702 est la capacité de déployer des applications disponibles en ligne uniquement sur le Windows Store aux périphériques gérés de manière traditionnelle avec le client ConfigMgr. Bien qu’elle fût déjà disponible en gestion moderne (MDM avec Microsoft Intune), la capacité pour la gestion traditionnelle a été introduite avec Windows 10 1703 (Creators Update).

On retrouve différents types de distribution des applications du Windows Store et Windows Store for Business :

• Les applications disponibles hors ligneque les entreprises peuvent ajouter à l’inventaire et dont il est possible de récupérer les binaires (APPX et APPXBundle) adéquats au déploiement hors ligne. Il devient possible de side-loader l’application à différentes phases : dans le master, lors du déploiement, lorsque le système est en ligne, etc. Ce mode de gestion est totalement déconnecté et n’assure ainsi pas de suivi de licence.
• Les applications disponibles en ligne sont celles dont les binaires ne sont pas mis à disposition par le développeur. Dans ce mode de fonctionnement, la récupération ne peut se faire que via le Windows Store en utilisant un compte Azure Active Directory pour associer l’acquisition à une identité utilisateur. Oubliez ainsi les modes de déploiement dans le master ou lors du déploiement, ce mode de déploiement n’a lieu que lorsque le système est chargé et configuré.

Une application peut être disponible dans les deux modes. C’est le cas de quasiment toutes les applications mises à disposition par Microsoft (Sway, OneNote, Word, etc.). Néanmoins comme je vous le disais, le mode de distribution (en ligne/hors ligne) est à la discrétion du développeur. La grande majorité des applications reste uniquement disponible en ligne.

Du coup, vous imaginez bien que la mise à disposition d’applications du Windows Store va vous diriger rapidement vers les modes de distribution en ligne.

Cet article n’a pas pour but de donner un pas à pas mais de détailler les grands prérequis et les erreurs à ne pas faire.

Mise en œuvre des prérequis

Parmi les prérequis nécessaires au déploiement d’applications disponibles en ligne via ConfigMgr, on retrouve :

Côté Infrastructure

• Une infrastructure System Center Configuration Manager :
  • En version 1606 ou supérieure pour le déploiement en gestion moderne via Microsoft Intune
  • En version 1702 ou supérieure pour le déploiement en gestion traditionnelle pour des clients ConfigMgr.
• L’ouverture d’un tenant Azure Active Directory et la synchronisation des comptes utilisateurs de votre entreprise avec Azure Active Directory Connect.
• La création de votre tenant Windows Store for Business avec le même tenant Azure Active Directory.
• Vous devez avoir configuré la connexion avec le Windows Store for Business dans System Center Configuration Manager. Outre les prérequis détaillés dans le lien, la création s’effectue dans la partie Administration > Overview > Cloud Services > Windows Store for Business de la console d’administration.

Côté client

• Des clients Windows 10 :
  • En version 1606 (Anniversary Update) ou supérieure pour le déploiement en gestion moderne via Microsoft Intune
  • En version 1703 (Creators Update) ou supérieure pour le déploiement en gestion moderne via Microsoft Intune
• Les clients doivent avoir une connexion Internet permettant l’accès au Windows Store for Business.
• La machine doit être :
  • Soit jointe à Azure Active Directory (AAD). D’un point de vue expérience utilisateur, ce scénario est le plus simple puisque le compte de l’utilisateur est associé au système lors de cette phase. Il n’a ainsi pas besoin d’avoir accès au Windows Store et ce dernier peut d’ailleurs être bloqué par GPO. Ce scénario fait notamment sens lorsque la machine est gérée de manière moderne (via Microsoft Intune). Elle donne une approche hybride un peu moins cohérente lorsqu’elle est gérée de manière traditionnelle avec le client SCCM.
  • Soit jointe à Active Directory (AD) et enregistrée dans Azure AD. Ceci peut se faire de deux façons :
    • L'administrateur a configuré l'enregistrement automatique du périphérique dans Azure AD via la GPO Computer Configuration > Policies > Administrative Templates > Windows Components > Device Registration. Right-click Register domain-joined computers as devices. Voici plus en détails les prérequis pour réaliser l'enregistrement dans Azure AD : https://docs.microsoft.com/en-us/azure/active-directory/active-directory-conditional-access-automatic-device-registration-setup#prerequisites
    • l’utilisateur doit avoir renseigné son compte Azure Active Directory dans l’application Windows Store dans la partie compte d’entreprise (Cf partie expérience utilisateur). L’expérience est moins user-friendly car l’association se fait manuellement. Dans ce scénario bien que le déploiement n’ait pas spécifiquement besoin du Windows Store. L’utilisateur doit y avoir accès pour faire l’association. Il n’est ainsi pas possible de le bloquer. Vous pouvez par contre limiter son accès à la partie Windows Store for Business via le paramétrage Only display the private store within the Windows Store app.

Une fois que ces prérequis sont validés, vous pouvez ensuite vous connecter au Windows Store for Business et acquérir les applications que vous souhaitez déployer à vos utilisateurs.

Ces dernières sont ensuite synchronisées par le connecteur et visibles dans Software Library > Overview > Application Management > License Information for Store Apps. Cette espace regroupe aussi les applications synchronisées au travers du Google Play Store for Work et de l’Apple Volume Purchase Program (VPP). D’ici, vous pouvez procéder à la création de l’application pour ensuite la déployer sur une collection d’utilisateurs ou de périphériques. Vous pouvez bien entendu déployer l’application de manière optionnelle (en libre-service) ou obligatoire.

Expérience de déploiement

En déployant une application de manière optionnelle, cette dernière apparaît dans le Software Center de l’utilisateur où il peut initier son installation :

On peut ensuite voir l’installation de l’application se dérouler dans le fond :

Côté expérience utilisateur, la facilité dépend véritablement de si la machine est jointe à Azure Active Directory ou Active Directory. Dans le premier cas, la réalisation est simple et l’administrateur peut même complétement bloquer l’accès au Windows Store. Dans le second cas, l'opération est réalisée par la GPO (voir précédemment). Dans le troisième cas, l’utilisateur doit configurer son compte Azure Active Directory et doit à minima avoir besoin à la partie Windows Store for Business de l’application.

Dépannage

L’installation de l’application échoue et vous observez des erreurs 0x80041001 dans le fichier AppEnforce.log :

 +++ Starting Install enforcement for App DT "WindowsStoreBSPDeeplinkDT_Apprends l'anglais et l'espagnol avec Duolingo - Windows app package (in the Windows Store)" ApplicationDeliveryType - ScopeId_82996E66-2052-4906-8F4D-BA1F65942CA9/DeploymentType_7fa83bdc-051c-47fc-851f-866dfb409b41, Revision - 1, ContentPath - , Execution Context - User

    The content path is not specified for DeploymentType ScopeId_82996E66-2052-4906-8F4D-BA1F65942CA9/DeploymentType_7fa83bdc-051c-47fc-851f-866dfb409b41.  Content is assumed to be locally available.

    A user is logged on to the system.

Failed to execute StoreInstallMethod with error = 0x80041001

+++ AppX Install Info added. [AppDT Id: ScopeId_82996E66-2052-4906-8F4D-BA1F65942CA9/DeploymentType_7fa83bdc-051c-47fc-851f-866dfb409b41]

AppXHandler::EnforceApp failed (0x80041001).             

AppProvider::EnforceApp - Failed to invoke EnforceApp on Application handler(0x80041001).

CommenceEnforcement failed with error 0x80041001.                

Method CommenceEnforcement failed with error code 80041001

++++++ Failed to enforce app. Error 0x80041001. ++++++

Dans ce scénario, le client n’est pas en capacité de récupérer l’identité Azure Active Directory de l’utilisateur connecté. Cela signifie que la machine n’a pas été joint à Azure Active Directory (à Active Directory simplement par exemple) et que l’utilisateur n’a pas renseigné son compte Azure Active Directory dans le Windows Store.

L’installation de l’application échoue et vous observez des erreurs 0x87D0032D dans le fichier AppEnforce.log :

Returns CCM_E_ONLINE_LICENSED_INPROGRESS for online licensed app.
+++ AppX Install Info added. [AppDT Id: ScopeId_587F978D-F05C-45D1-B5FB-A2100497A689/DeploymentType_6a0061c2-cb67-4348-a7f5-4fd81703423b]
AppXHandler::EnforceApp failed (0x87d0032d).
AppProvider::EnforceApp - Failed to invoke EnforceApp on Application handler(0x87d0032d).
CommenceEnforcement failed with error 0x87d0032d.
Method CommenceEnforcement failed with error code 87D0032D
++++++ Failed to enforce app. Error 0x87d0032d. ++++++

Dans ce scénario, le client exécute une version plus ancienne que Windows 10 1703 ou ultérieure.

Après plusieurs mois de suspens, on sait que la prochaine version de SQL Server s’appelera SQL Server 2017. Microsoft a publié la Community Technology Preview 2.0 pour Windows et Linux. Cette CTP représente une version ayant la qualité pour la production. Cette version est directement dédiée au Cloud pour permettre de développer des applications qui seront portées sur tous les systèmes via Docker. On retrouvera les principales fonctionnalités de SQL Server dont les innovations en matière de cloud hybride comme Stretch Database.

La CTP 2.0 ajoute les éléments suivants :

• Exécution d’analyses avancées en utilisant Python de façon parallélisée et hautement adaptable. Ceci inclut le support complet de CRUD pour créer des nœuds et des passerelles et les extensions du langage de requêtage T-SQL.
• La capacité de stocker et analyser des données de graphe.
• Des fonctionnalités de base de données intelligente avec Adaptive Query Processing afin que les requêtes de base de données puissent s’exécuter aussi efficacement que possible sans avoir à effectuer du tuning.
• L’indexation en ligne peut être reprise là où elle s’est arrêtée. La fonctionnalité utilise que peu d’espace pour la journalisation.
• Diverses nouveautés demandées par la communauté :
  • Sauvegarde différentielle intelligente par l’ajout d’une colonne modified_extent_page_count dans sys.dm_db_file_space_usage afin de traquer les changements différentiels dans chaque fichier de base de données.
  • Sauvegarde des fichiers de transaction intelligente
  • L’usage de SELECT INTO… ON groupe de fichiers.
  • Amélioration de l’installeur pour la TempDb
  • Planification et supervision de la TempDb par l’ajout d’une DMV sys.dm_tran_version_store_space_usage
  • Supervision et diagnostique des journaux de transactions
  • Amélioration des performances de sauvegarde pour les petites bases de données sur les serveurs hautes gammes.
  • Informations processeurs dans sys.dm_os_sys_info
  • Capture des statistiques d’exécution query store dans DBCC CLONEDATABASE

Concernant Linux, on retrouve :

• Des capacités supplémentaires pour l’agent SQL Server avec de garder les réplicas en synchronisation avec le Log Shipping.
• Le Listener pour les groupes de disponibilité Always On.

Plus d’informations sur : https://blogs.technet.microsoft.com/dataplatforminsider/2017/04/19/sql-server-2017-community-technology-preview-2-0-now-available/

De la documentation :

• Installer sur Red Hat Enterprise Linux
• Installer sur Ubuntu Linux
• Installer sur SLES v12 SP2
• SQL Server on Linux: How? Introduction

Télécharger :

• SQL Server 2017  Public Preview pour Windows

Voici le récapitulatif des annonces faites par Microsoft concernant sa plateforme Microsoft Azure.

Parmi les annonces, on retrouve notamment :

General

• Explication de l’accès à la plateforme Azure India via Goods and Services Tax (GST) Suvidha Providers (GSPs).
• Changement sur les certificats Azure TLS. Microsoft ajoute 4 autorités de certification intermédiaires supplémentaires. Cet ajout aura lieu à partir du 27 juillet 2017 et peut demander des changements sur les applications développées.
• Connexion sans mot de passe par le téléphone pour les comptes Microsoft. Microsoft avait annoncé la volonté de s’affranchir des mots de passe et c’est le cas pour les comptes Microsoft. Il faut pour cela utiliser l’application Microsoft Authenticator en activant l’option Enable phone sign-in.
• Nouveau rôle Billing Reader permettant de déléguer l’accès aux informations de facturations uniquement sans avoir accès aux services associés. On retrouve aussi la Preview d’un API pour la facturation afin notamment de télécharger les informations de facturation.
• Disponibilité Générale des librairies d’administration pour .NET pour les services de calcul, de stockage, de base de données SQL, de réseau, Resource Manager, Key Vault, Redis, CDN, Batch Services.

IaaS

• Fin de support pour Ubuntu 12.04 (Precise Pangolin) à partir de fin avril 2017. Les entreprises doivent migrer vers Ubuntu 14.04 ou plus. Pour ceux qui ne peuvent pas migrer, Canonical offre une maintenance de sécurité étendue (ESM).

Enterprise Mobility + Security

• Preview de l’administration unifiée d’Azure Information Protection. Auparavant, le chiffrement était dans le portail classique d’Azure avec Azure RMS et la classification dans le nouveau portail Azure avec Azure Information Protection. Les modèles Azure RMS font maintenant partis de la configuration d’Azure Information Protection afin de fournir une administration unifiée.
• Mise à jour (2.9.0.0) des outils PowerShell pour l’administration d’Azure Rights Management.
• Mise à jour d’Avril 2017 de la documentation d’Azure Information Protection.

Azure Active Directory

• Nouvelles améliorations à l’authentification Pass-Through sur Azure Active Directory avec
  • L’amélioration de la sécurité pour la connexion unique de l’utilisation via le chiffrement par clé public/privée entre l’agent On-Premises et Azure AD.
  • Microsoft ajoute le support de l’utilisation de n’importe quel attribut configuré comme identifiant alternatif dans Azure AD Connect.
  • Déploiement facilité avec l’utilisation de deux ports uniques par défaut (80 et 443).
  • Amélioration de l’expérience de connexion pour l’utilisateur en supprimant le besoin aux utilisateurs d’entrer leurs identifiants lors de la connexion sur les applications Cloud avec des URLs spécifiques au tenant (outlook.office365.com/owa/contoso.com)
• Début Avril, Microsoft annonçait un changement dans la logique de personnalisation des pages de connexion Azure AD. Aujourd’hui, Microsoft effectue un retour arrière suite aux retours faits par les entreprises. Le changement a en effet causé un impact important sur le business de certaines entreprises. Le but était à terme de rationaliser l’expérience de connexion entre les comptes Microsoft et Azure AD.

Operations Management Suite (OMS)

• Les jointures (JOIN) sont maintenant possibles dans le langage de requêtage de Log Analytics.
• Via la solution Change Tracking.

Office 365

• Microsoft revoit sa stratégie de publication pour aligner les versions de Windows 10 et du client Office 365 ProPlus avec des publications deux fois par an en Mars et en Septembre.

Azure SQL

• Private Preview d’un nouveau service de migration de base de données SQL Server, Oracle, et MySQL pour cibler une base de données Azure SQL Database ou SQL Server dans une machine virtuelle Azure

Azure Site Recovery

• Azure Site Recovery supporte maintenant la création de machines virtuelles basculées dans un Availability Set.

Azure IoT

• Disponibilité d’Azure IoT Suite connected factory.  Ceci constitue des solutions Azure IoT Suite préconfigurées pour permettre aux entreprises de démarrer rapidement d’un POC vers un déploiement plus large. Ceci comprend différents services comme Azure IoT Hub et Azure Time Series Insights.

• Azure IoT supporte maintenant Device Identity Composition Engine (DICE) et plusieurs autres modules de sécurité matériel (HSM).
• Disponibilité Générale des packages SDK d’Azure IoT Gateway.

• Public Preview du service Azure Time Series Insights proposant un service géré d’analyse, de stockage et de visualisation. Ceci permet d’interagir instantanément avec plusieurs milliards d’événements provenant des sources différentes telles que des périphériques IoT.
• Azure IoT Hub Device Provisionning permet de provisionner automatiquement en mode ZeroTouch et de manière sécurisée des périphériques dans Azure IoT Hub.
• Preview d’Azure Stream Analytics sur les périphériques en bordure.
• Public Preview des métriques dans les diagrammes de travail (Job Diagram) pour la supervision et le dépannage des jobs Azure Stream Analytics.

Azure Analysis Services

• Nouveau tier Basic pour supporter des environnements de petites tailles avec des besoins de rafraichissement et de traitement simple.
• .
• Amélioration de l’intégration à Azure Active Directory permettant de ne donner l’accès qu’aux utilisateurs de l’annuaire du tenant.

Azure Media and Azure CDN Services

• Améliorations des services d’encodage avec notamment la réduction du prix et la facturation à la minute, la capacité de redimensionnement automatique (Preview) e le son DTS-HD dans l’encodeur Premium.
• Private Preview of Azure Media Video Annotator permet l’identification des objets dans les vidéos.
• Public Preview of Azure Media Face Redactor permet aux clients de protéger l’identité des personnes avant de publier des vidéos privées au public.
• Amélioration du service de Streaming avec le support CMAF, DTS-HD, de l’ingestion RTMP, retour arrière hors ligne du contenu HLS en utilisant les systèmes Apple FairPlay DRM.
• Disponibilité Générale des fonctionnalités de publicité dans Azure Media Player pour la vidéo à la demande.
• Azure CDN supporte maintenant les domaines SSL personnalisés afin d’améliorer la sécurité de la donnée en transit.

Autres services

• Support d’Ubuntu 1704 pour l’accès On-Premises à Azure File Storage. C’est la première distribution concernée par l’accès depuis le réseau interne de l’entreprise à Azure File Storage ; le service de stockage de fichiers partagés.
• Public Preview du support des synonymes par Azure Search. Ceci permet au service de renvoyer les résultats à la demande correspondant à la demande mais aussi aux synonymes associés.
• Disponibilité Générale des librairies de gestion Azure pour Java.
• Mise à jour d’Avril des outils HDInsights pour IntelliJ et Eclipse avec le support d’Azure Data Lake Store, l’emulateur local pour Eclipse, et une amélioration globale de la qualité.
• HDInsight est maintenant disponible en région UK.
• Disponibilité d’Azure Import/Export en région UK South.
• Azure Container Registry est disponible en région UK.
• Cloudera supporte maintenant Azure Data Lake Store via Cloudera Enterprise Data Hub 5.11.

Microsoft est en train de migrer son backend Microsoft Intune et son portail Silverlight vers le nouveau portail Azure. Cette migration est complète pour tous les clients n’entrant pas dans le cas d’exceptions ou de configurations non supportées.

Votre tenant a été migré si un bandeau vous proposant de tester le nouveau portail Azure apparaît dans le portail classique Silverlight. Lorsque ce n’est pas le cas, vous obtenez un message dans le centre de message du portail Office 365 pour vous informer d’une configuration non supportée sur votre tenant. Ceci peut être un ou plusieurs points suivants :

• Des stratégies ou applications ciblées sur des périphériques ou utilisateurs non groupés.
• L’utilisation de groupes contenant des exclusions de groupes de sécurité.
• L’utilisation de groupes imbriqués (appelés aussi Implicit Exclusion Groups).
• Tous les groupes qui utilisent la clause « Is Manager »
• Vous avez des règles de déploiement d’applications en conflit.
• Vous utilisez une ancienne version (avant Décembre 2016) du connecteur Exchange pour Intune.
• Vous avez désactivé la gestion des groupes en libre-service dans Azure AD.

Vous pouvez obtenir plus de détails sur les configurations non supportées : http://aka.ms/intunemigrationblockers

Outre ces blocages, Microsoft effectue un changement sur le groupement automatique des périphériques iOS préenregistrés via Apple DEP ou Apple Configurator en périphérique d’entreprise. Avant la migration, vous pouviez spécifier le nom d’un groupe lors de la création d’un profil Corporate Device Enrollment. Ceci n’est plus possible lorsque vous avez migrer et vous devez créer le groupe à partir d’un nouveau portail Azure en créant un groupe dynamique avec pour règle enrollmentprofilename starts with « le nom de votre profil ».

Plus d’informations sur ce changement : https://blogs.technet.microsoft.com/intunesupport/2017/04/19/changes-to-automatic-grouping-for-corporate-pre-enrolled-ios-devices/

Certains pensaient au successeur du Surface Book, il n’en est rien. Microsoft a présenté sa stratégie à destination du monde de l’éducation. On retrouve en premier lieu un nouveau système d’exploitation : Windows 10 S personnalisé pour n’exécuter que des applications issues du Windows Store. Cette version spécifique pourra être mise à jour vers une édition Pro après l’achat du bundle associé. Le but via ce système est de fournir un système d’exploitation adaptée aux usages éducation en permettant de baisser le prix des périphériques associés (à partir de 189$). On retrouvera des périphériques proposés par Acer, ASUS, Dell, Fujitsu, HP, Samsung, et Toshiba. En sus, Microsoft offre Office 365 for Education aux étudiants qui achètent ces périphériques. On retrouvera une version d’Office au travers du (une version spécifique du Windows Store for Business) à partir de l’été (Preview). Microsoft propose aussi Teams pour collaborer et Code Builder pour Minecraft Education afin d’apprendre à programmer facilement.

Microsoft lance son périphérique dédié appelé Microsoft Surface Laptop.

Outre ces annonces, Microsoft présente sa technologie permettant e changer une configuration personnalisée pour des périphériques dans une classe via une clé USB et l’application Set Up School PC.

Enfin, Microsoft présente plus sa version revisitée de Microsoft Intune for Education afin d’assurer une gestion simplifiée et aisée des périphériques Windows 10.

On retrouve donc une suite logique avec :

• Un système dédié Windows 10 S gratuit pour toutes les écoles qui achètent des PCs compatibles ou qui ont déjà des PC Windows Pro.
• Des périphériques Windows 10 S à partir de $189
• Un abonnement d’un an à Minecraft: Education Edition
• Un abonnement gratuit à Microsoft Office 365 for Education avec Microsoft Teams
• Microsoft Intune for Education pour la gestion

Source : https://blogs.windows.com/windowsexperience/2017/05/02/microsoft-education-empowering-students-teachers-today-create-world-tomorrow/

Microsoft vient de publier la CTP (6.7.40.0) du Management Pack (MP) pour SQL Server vNext Replication. System Center Operations Manager (SCOM) fait partie de la gamme System Center, il propose une supervision souple et évolutive de l’exploitation au niveau de toute l’entreprise, réduisant la complexité liée à l’administration d’un environnement informatique, et diminuant ainsi le coût d’exploitation. Ce logiciel permet une gestion complète des événements, des contrôles proactifs et des alertes, et assure une gestion des services de bout en bout. Il établit des analyses de tendance et des rapports, et contient une base de connaissances sur les applications et le système.

Ce management pack fournit les fonctionnalités suivantes :

• Découvre et supervise les éléments : Distributor, Publisher, Subscriber, Publication, Subsicription
• Support de l’Agentless monitoring.
• L’utilisation des scripts est arrêtée en faveur des modules .net Framework
• Les DMV et fonctions SQL Server sont maintenant utilisées pour obtenir les informations de l’état de santé et des performances.

Télécharger Microsoft System Center Management Pack (Community Technology Preview) for SQL Server vNext Replication

Un mois après la publication de System Center Configuration Manager 1702, Microsoft vient de mettre en ligne sur MVLS le média d’installation qui peut être utilisé pour installer un site ou une hiérarchie ou tout simplement mettre à jour le produit à partir de Configuration Manager 2012 SP1/SP2/R2/R2 SP1.

Mise à jour 02/05/17: Le média est maintenant disponible pour les abonnés MSDN/Technet.

Microsoft vient d’annoncer la mise à disposition d’un nouvel ensemble de fonctionnalités pour Microsoft Intune.

Les fonctionnalités suivantes sont ajoutées :

• Amélioration de l’expérience de connexion à travers les applications du portail d’entreprise de toutes les plateformes. On retrouve une expérience utilisateur qui apparaîtra automatiquement. De plus, les utilisateurs peuvent se connecter au portail d’entreprise depuis un autre périphérique avec un code à usage unique généré.  Le but est de pouvoir se connecter sans identifiant. Pour voir la nouvelle expérience de connexion depuis un autre périphérique : https://docs.microsoft.com/en-us/intune/whats-new/whats-new-in-intune-app-ui
• Microsoft MyApps est mieux supporté dans le navigateur géré (Managed Browser). Les utilisateurs du navigateur géré qui ne sont pas ciblés pour la gestion, seront redirigé vers le service MyApps où ils pourront accéder aux applications SaaS provisionnés par l’administrateur. Les utilisateurs sont ciblés pour la gestion Intune, pourront continuer à accéder à MyApps depuis les favoris intégrés du Managed Browser.
• Nouvelles icônes pour le navigateur géré (Managed Browser) et le portail d’entreprise (Company Portal). Le but est d’améliorer la consistance avec les autres applications EM+S : https://docs.microsoft.com/en-us/intune/whats-new/whats-new-in-intune-app-ui
• Le portail d’entreprise Android a été mis à jour pour afficher un indicateur de progression de la connexion lorsqu’un utilisateur lance ou résume l’application. Voir : https://docs.microsoft.com/en-us/intune/whats-new/whats-new-in-intune-app-ui
• Bloquer l’accès à SharePoint Online. Il est maintenant possible de créer des stratégies d’accès conditionnel basées sur l’application utilisée. Le but est de bloquer à SharePoint Online aux applications qui n’ont pas de stratégies de protection appliquées.
•  Enregistrement en masse de périphérique Windows 10 1703 (Creators Update) ou plus. Vous pouvez utiliser Windows Configuration Designer (WCD)pour joindre des périphériques en masse à Azure Active Directory et Microsoft Intune. Les utilisateurs AAD sont des utilisateurs standards (non administrateur et recevoir les stratégies et applications obligatoires. Les scénarios en libre-service et du portail d’entreprise ne sont pas encore supportés.
• Accès direct aux scénarios d’enregistrement Apple. Pour les comptes Intune créés après Janvier 2017, Intune permet maintenant l’accès direct aux scénarios d’enregistrement Apple depuis le portail Azure. Les comptes plus anciens que Janvier 2017, vont devoir migrer avant de pouvoir accéder à cette fonctionnalité dans le nouveau portail.
• Des changements vont être opérés sur les applications APPX :
  • Ajouter un nouveau type d’application appx qui sera déployé uniquement aux périphériques MDM.
  • Le type d’application appx existant sera uniquement utilisé pour les ordinateurs gérés avec l’agent Intune.
  • Conversion de tous les appxs en appxs MDM avec la migration.
• Remplacement des rôles d’administration MAM (Mobile Application Management) dans le portail Intune classique (Contributor, Owner, Read-Only) vont être remplacés avec les nouveaux rôles RBAC du portail Azure. Une fois migré, vous devrez réassigner les droits à vos administrateurs.

Parmi les prochains changements, Microsoft planifie le retrait de la page Intune Partner de manage.Microsoft.com à partir de mi-mai 2017. Si vous êtes un partenaire Intune, vous ne pourrez plus voir, prendre des actions à place d’un client. Vous devrez vous connecter à l’un des deux portails suivants : Microsoft Partner Center et Microsoft Office 365 Partner Admin Center

Plus d’informations sur : https://docs.microsoft.com/en-us/intune/whats-new/whats-new-in-microsoft-intune

Si vous utilisez Android for Work avec Microsoft Intune ou System Center Configuration Manager en mode hybride, voici une précision des options de stratégies proposées. Cette précision a lieu car Google a changé certains éléments dans le système ce qui créé une inconsistance dans le nom des options vis-à-vis du comportement associé. Ceci concerne l’option Allow Data Sharing Across Work and Personal Profiles dont les options ne correspondent pas à l’intitulé et ne fonctionnent pas correctement. Ce paramétrage gère les options de partage de données entre la partie personnel et le profil professionnel.

Microsoft travaille sur un correctif dans Microsoft Intune 1704 et la prochaine mise à jour du portail d’entreprise Android.

Voici les options :

• Prevent any sharing across boundaries
  • Professionnel vers personnel : Défaut (Blocage sur toutes les versions d’Android)
  • Personnel vers professionnel : Default (Autorisé sur Android 6.0 et plus, Bloqué sur 5.x)
• Apps in work profile can handle sharing requests from personal profile
  • Professionnel vers personnel: Défaut
  • Personnel vers professionnel: Autorisé
  • (Utile sur Android 5.x uniqueement où le passage Personnel vers professionnel est bloqué)
• No restrictions
  • Professionnel vers personnel: Autorisé
  • Personnel vers professionnel: Autorisé

Les options vont être renommées en conséquence.

Microsoft a annoncé la disponibilité d’un outil moderne de migration des dossiers publics vers Exchange Online. Pour cela, il faudra valider les prérequis suivants :

• Exchange Server 2013 CU15 (ou plus), Exchange Server 2016 CU4 (ou plus)
• Un environnement Exchange on-premises hybride configuré avec Exchange Online

Pour voir la méthode de migration, on retrouve deux articles :

• Use batch migration to migrate Exchange 2013 public folders to Exchange Online
• Use batch migration to migrate Exchange 2016 public folders to Exchange Online

Microsoft a publié un visuel représentant les différents chemins permettant l’obtention des derniers statuts de certification MCSE et MCSD. On retrouve notamment :

• MCSE Mobility
• MCSE Cloud Platform & Infrastructure
• MSCE Productivity
• MCSE Data Mgmt & Analytics
• MCSD App Builder
• MCSE Business Applications

Source : https://borntolearn.mslearn.net/b/weblog/posts/update-on-certification-paths-new-paths-new-opportunities

Microsoft vient de mettre à jour la liste des plages adresses IP utilisées pour ses différents Datacenters Microsoft Azure. Cette liste peut vous être utile pour configurer des exceptions firewall entre votre organisation et d’éventuelles machines présentes dans le cloud de Microsoft.

Télécharger :

• Microsoft Azure Datacenter IP Ranges
• Windows Azure Datacenter IP Ranges in China

L’équipe DPM a publié un billet expliquant dans System Center 2016 Data Protection Manager (DPM) l’échec de certains jobs de restauration ou de synchronisation à cause d’un espace inadéquat sur la réplication dans le cas où la source de données protégée est sous allouée ou subie une augmentation importante des données protégées. Ceci survient notamment dans les scénarios de protection de restauration Bare Metale.

Plus d’informations sur : https://blogs.technet.microsoft.com/dpm/2017/04/14/how-to-increase-dpm-2016-replica-when-using-modern-backup-storage-mbs/

Microsoft a publié une mise à jour (2.6) des ensembles de symboles/icones pour représenter les fonctionnalités et systèmes de Microsoft Azure. Ces Stencils et icones peuvent notamment être utilisée dans Visio pour créer vos schémas ou dans PowerPoint pour vos présentations. Ce même groupement comprend des éléments pour :

• Microsoft Azure
• L'entreprise
• Les symboles généraux
• Microsoft Intune
• Operations Management Suite
• Operations Manager
• D'autres produits Microsoft
• System Center

Télécharger Microsoft Azure, Cloud and Enterprise Symbol / Icon Set - Visio stencil, PowerPoint, PNG, SVG

Microsoft a publié une mise à jour de la documentation publiée il y a quelques mois pour parler de la compatibilité des Surface avec la version LTSB de Windows 10. Le support est le suivant :

• Les périphériques Surface fournissent une meilleure expérience quand ils sont utilisés avec les options de déploiement Semi-annual Channel (Pilot)/Current Branch (CB) et Semi-annual Channel (Broad)/Current Branch for Business (CBB).
• Avec la version LTSB, plusieurs fonctionnalités importantes à Windows 10 requises par les périphériques Surface, ne sont pas disponibles et réduisent ainsi le niveau de fonctionnalité.
• Si vous devez utiliser de nouveaux drivers ou firmware pour corriger des problèmes techniques ou si vous remplacer d’anciens matériels, vous allez peut-être devoir mettre à jour vers une version plus récente de Windows 10.

Outre ces éléments, l’article précise les éléments suivants :

• Ce n’est pas recommandé d’utiliser Windows 10 Enterprise LTSB avec des périphériques qui exécutent la suite Office ou d’autres outils de productivité.
• Le Windows Store n’est pas présent dans Windows 10 Enterprise LTSB donc si vous devez exécuter des applications du Windows Store, il n’est pas recommandé d’utiliser cette version.
• Si vous devez naviguer sur Internet pour des réseau sociaux ou des recherches, ceci indique que le périphérique n’est pas en adéquation avec Windows 10 LTSB.

Lire Surface Device Compatibility with Windows 10 Long-Term Servicing Branch

Source : https://blogs.technet.microsoft.com/surface/2017/04/11/documentation-updates-for-surface-and-windows-10-ltsb-compatibility/

Microsoft l’avait annoncé, c’est désormais possible à partir de Windows 10 Insider Preview 16170. Vous pouvez maintenant utiliser un compte Azure Active Directory pour s’enregistrer au programme Windows Insider. Ce choix vous donnera plus de visiblité lorsque vous faites des retours dans l’application Feedbacks.

Pour s’enregistrer :

• Visitez https://insider.windows.com/ForBusiness
• Cliquez sur Register Today et enregistrez-vous avec compte Azure Active Directory.
• Dans Windows 10 Insider Preview 16170, ouvrez Settings \ Updates & Security \ Windows Insider Program avec un compte qui a les droits d’administration sur la machine.
• Sélectionnez Get Started et renseignez vos identifiants d’entreprise.

Plus d’informations sur : https://blogs.technet.microsoft.com/windowsitpro/2017/04/10/sign-up-for-the-windows-insider-program-for-business/

Microsoft a mis à jour les outils permettant la migration d’un environnement On-Premises Active Directory Rights Management Services (AD RMS) vers Azure Information Protection tout en préservant l’accès aux données protégées.

Plus d’informations sur : https://docs.microsoft.com/rights-management/plan-design/migrate-from-ad-rms-to-azure-rms

Télécharger Azure RMS Migration Guidance

Microsoft a publié deux vidéos présentant quelques nouveautés apportées par Windows 10 1703 (Creators Update). On retrouve notamment les nouveautés de Windows Defender ATP, sa solution de sécurité post-breach qui permet notamment de faire du forensic, etc. En outre, une vidéo présente le nouvel outil en ligne de commande MBR2GPT permettant la conversion du BIOS vers l’UEFI sur une machine sans modifier ou supprimer de données du disque.

Microsoft a publié un script SQL permettant facilement d’identifier les systèmes de site System Center Configuration Manager qui exécute une version de système d’exploitation non supportée par la version 1702. Le script peut être utilisé à deux moments :

• Avant la mise à jour pour identifier les éléments qui bloqueraient la mise à jour.
• Lors de la mise à jour et lorsque le vérificateur de prérequis vous a renvoyé un état d’avertissement ou d’échec concernant des systèmes non supportés.

Pour rappel, Windows Server 2008 et Windows Server 2008 R2 ne sont plus supportés pour les serveurs de site ou systèmes de site (à l’exception du rôle point de distribution et State Migration Point.)

Télécharger ListAllSiteRolesWithUnsupportedOS Script

Microsoft vient de mettre à disposition la Technical Preview 1704 (5.0.8514.1000) de System Center Configuration Manager. Pour rappel, ConfigMgr a subi une refonte de sa structure pour permettre des mises à jour aisées de la même façon que l’on peut le voir avec Windows 10. Si vous souhaitez installer cette Technical Preview, vous devez installer la Technical Preview 5 (équivalent de la TP1603) puis utiliser la fonctionnalité Updates and Servicing (nom de code Easy Setup).

System Center Configuration Manager TP 1704 comprend les nouveautés suivantes :

• Amélioration du support des hautes résolutions (High DPI) par la console d'administration
• L’inventaire matériel collecte les informations SecureBoot via la classe SMS_Firmware.

• PowerShell peut être utilisé pour ajouter des méthodes de détection pour le déploiement d’application. On retrouve les cmdlets :
  
  • New-CMDetectionClauseDirectory (MSI, Script)
  • New-CMDetectionClauseFile (MSI, Script)
  • New-CMDetectionClauseMacBundle (Mac)
  • New-CMDetectionClauseMacPackage (Mac)
  • New-CMDetectionClauseRegistryKey (MSI, Script)
  • New-CMDetectionClauseRegistryKeyValue (MSI, Script)
  • New-CMDetectionClauseWindowsInstaller (MSI, Script)
• Rechanger les images de démarrage avec la version Windows PE courante. Lors de l’exécution de la fonction Update Distribution Points sur les images de démarrage, vous pouvez choisir de les rechercher avec la dernière version de Windows PE à partir du répertoire d’installation de l’ADK Windows.
• Une nouvelle colonne OS Version a été ajouté aux images et packages de mises à jour de système d’exploitation.
• La journalisation est plus efficace dans le fichier Smsts.log. En effet, les entrées CCM_CIVersionInfo.PolicyID ne sont plus écrites dans le fichier afin de ne pas polluer les journaux.
• Ajout d’une nouvelle tâche de séquence de tâches permettant d’exécuter une autre séquence de tâches. Ceci permet de créer une relation parent/enfant entre séquences de tâches et de donner des scénarios plus granulaires. Par exemple, vous pouvez créer une séquence de tâches d’installation des différents drivers pour les modèles de matériel que vous supportez et d’appeler cette séquence de tâches à partir de l’ensemble de vos autres séquences de tâches. Avec cette nouvelle méthode, les séquences de tâches parent et enfant sont combinées dans une seule stratégie que le client exécute. Vous devez prendre en compte les éléments suivants :
  • Ce n’est pas supporter d’ajouter une séquence de tâches enfant qui est elle-même parent d’une autre séquence de tâches.
  • L’environnement est global. Les variables définies par la séquence de tâches parent et modifiée dans la séquence de tâches enfant gardent cette dernière valeur.
  • Les messages d’état sont envoyés pour une seule opération de la séquence de tâches.
  • Une nouvelle entrée dans le journal rend plus clair lorsqu’une séquence de tâches enfant est lancée.

Note : Dans cette Technical Preview, si les séquences de tâches enfants qui référencent des packages et que vous exécutez la séquence de tâches parent depuis le Software Center, le client ne trouvera pas le contenu du package quand la séquence de tâches enfant s’exécute. Dans ce scénario, vous devez exécuter la séquence de tâches en mode PXE ou depuis un média.

Parmi les fonctionnalités hybrides ajoutées, on retrouve :

• Configuration des applications Android avec des stratégies de configuration applicatives. Cette fonctionnalité est disponible pour les périphériques gérés via Android for Work et s’applique aux applications approuvées dans le Google Play for Work.

Plus d’informations sur : https://docs.microsoft.com/en-us/sccm/core/get-started/capabilities-in-technical-preview-1704

Microsoft a annoncé la fin de support de l’utilisation des anciens outils de synchronisation d’annuaire DirSync et Azure Active Directory Sync. Les outils ne sont plus supportés depuis le 13 Avril 2017. Microsoft annonce qu’à partir du 31 décembre 2017, il bloquera les tentatives de connexions à partir de ces outils. Vous devez donc impérativement mettre à jour les outils avant cette date.

Voici la procédure à suivre : Upgrade Windows Azure Active Directory Sync and Azure Active Directory Sync

Microsoft a publié des déclarations à propose de System Center Configuration Manager et la dépréciation de SHA-1. Normalement, il ne devrait pas y’avoir d’effet particulier.

System Center Configuration Manager 2007 ne supporte pas SHA-2 mais continue de fonctionner avec SHA-1 puisque la dépréciation concerne des certificats au travers d’Internet Explorer 11 et Microsoft Edge.

ConfigMgr 2007: https://blogs.technet.microsoft.com/configurationmgr/2017/03/13/configuration-manager-2007-and-windows-enforcement-of-sha1-certs/

ConfigMgr 2012: https://technet.microsoft.com/en-us/library/gg699362.aspx

Current Branch: https://docs.microsoft.com/en-us/sccm/core/plan-design/network/pki-certificate-requirements

Dans System Center Configuration Manager, l’utilisateur peut définir via le Centre Logiciels (Software Center) ses heures de travail (Business Hours) qui sont ensuite utilisées lors des rappels de déploiement pour définir le comportement d’installation avant la date butoir. Ces paramétrages ne sont malheureusement pas conservés lors des mises à niveau de client. L’augmentation des versions de Configuration Manager Current Branch, rend difficile ce cas d’usage puisque le paramétrage est réinitialisé à chaque fois. Scott Breen (MSFT) a publié un script permettant de conserver les paramétrages lors de la mise à niveau. Il écrit les paramétrages définis par l’utilisateur dans une clé de registre et les restaure lorsqu’ils sont réinitialisés à la valeur par défaut.

En outre, vous pouvez voter pour la prise en compte de ce besoin dans UserVoice.

Plus d’informations sur : https://blogs.technet.microsoft.com/configmgrdogs/2017/04/13/maintaing-user-defined-business-hours-during-configuration-manager-upgrades

Télécharger Backup and Restore Configuration Manager Client Business Hours

Microsoft a publié l’Update Rollup 17 d’Azure Site Recovery (ASR). On retrouve les ameliorations suivantes :

Microsoft Azure Site Recovery Provider

• Amélioration des messages d’erreur pour les échecs de protection afin d’aider le dépannage

Microsoft Azure Site Recovery Unified Setup

• Amélioration de la détection des prérequis pour les options régionales du système, les configurations IIS et les stratégies de groupe incompatibles.
• Gestion des cas de protection de machines virtuelles qui ont des périphériques USB connectés. ASR filtrera maintenant les périphériques USB au lieu de renvoyer un échec de protection des machines virtuelles

Mobility Service

• Support de SUSE Linux Enterprise Server 11 SP4.
• Amélioration de la fiabilité pour la protection de machines virtuelles qui ont plusieurs cartes réseaux. L’agent sélectionne de manière intelligente les plages d’adresses IP supportées tout en filtrant celles non supportées comme les adresses APIPA. Ceci améliore le niveau de succès de la protection de machines virtuelles qui ont plusieurs configurations réseaux et supprime la dépendance de de voir désactiver les cartes réseaux.
• Amélioration dans la collection de diagnostic Mobility Service pour améliorer la mesure des métriques de performance.
• Correction des scénarios Linux où l’adresse IP modifiée était incorrectement reportée par Mobility Service. Après que la découverte ait eu lieu, dans certains cas l’adresse IP modifiée n’était pas envoyée au service et une entrée périmée était récupérée du cache. Ceci engendrait un échec de protection.
• Correction d’un problème pour Red Hat Enterprise Linux Server 7.2 exécutant le kernel 3.10.0-514 où le driver Mobility Service filter ne se charge pas. Ceci engendre un blocage de la réplication.
• L’installation de Mobility Service échoue. Vous recevez le message :

MSI (s) (10:50) [time]: Executing op: ActionStart(Name=Invoke_DataPoolSize,,)CAQuietExec:  C:\Program Files (x86)\Microsoft Azure Site Recovery\agent>exit /B 0

MSI (s) (10:50) [time]: Executing op: CustomActionSchedule(Action=Invoke_DataPoolSize,ActionType=3073,Source=BinaryData,Target=CAQuietExec,CustomActionData="C:\Program Files (x86)\Microsoft Azure Site Recovery\agent\GetDataPoolSize\DataPoolSize.bat" "C:\Program Files (x86)\Microsoft Azure Site Recovery\agent\GetDataPoolSize")

MSI (s) (10:88) [time]: Invoking remote custom action. DLL: C:\Windows\Installer\MSIB628.tmp, Entrypoint: CAQuietExecCAQuietExec:  Error 0x80070003: Command line returned an error.CAQuietExec:  Error 0x80070003: CAQuietExec Failed

• L’installation de Mobility Service échoue si le dossier %ProgramData% n’est pas localisé sur le disque système.
• La mise à jour de Mobility Service échoue et vous recevez le message :

time: Either Installation directory/Agent Role/CSIP/CSPort/GUID vaule is null/invalid. Can't proceed ahead with upgrade.

time: registration with Configuration Server has failed.

time: Removing InMage Agent registry hive.

time: Unable to remove Agent registry hive.

time: Exception Occured: System.ArgumentException: Cannot delete a subkey tree because the subkey does not exist.

   at Microsoft.Win32.RegistryKey.DeleteSubKeyTree(String subkey)

   at UnifiedAgent.UAInstallActionProcessess.DeleteAgentRegistry()

time: installation has failed.

time: File C:\Temp\ASRSetup\Passphrase.txt doesn't exist.

time: File C:\Temp\ASRSetup\Passphrase.txt doesn't exist.

time: Application Ended

time: Exit code returned by unified agent: 0(Successful) 

Microsoft Azure Site Recovery (Correctif côté service)

• Support des ensembles de disponibilité pour les déploiements ARM. Les utilisateurs peuvent maintenant assigner des ensembles de disponibilité dans les propriétés des machines virtuelles avant de faire la bascule.
• Activer de la restauration après désastre peut être ressayer pour les scénarios VMware. Si la protection échoue, vous pouvez redémarrer le job au lieu de devoir désactiver/réactiver la protection.
• Ajout d’une vérification dans le portail qui survient si l’utilisateur choisit de basculer vers un point de restauration consistent. Cela vérifie qu’au moins un point existe sur la machine virtuelle.
• Les vérifications pour la disponibilité de la taille d’une machine virtuelle dans l’abonnement est améliorée notamment quand vous changez les paramétrages de la machine virtuelle et quand vous effectuez une bascule.
• Pour les machines virtuelles Hyper-V et lorsque vous planifier une bascule ou lorsque l’option d’arrêt est choisie après une bascule, les machines virtuelles sources seront arrêtées de force même si elles sont verrouillées.
• Une bascule non planifiée est renommée en bascule.

Ce dernier s’applique à :

• Microsoft Azure Site Recovery Provider for System Center Virtual Machine Manager (3.3.x.x)
• Microsoft Azure Site Recovery Hyper-V Provider (4.6.x.x)
• Microsoft Azure Site Recovery Provider (5.1.x.x)

Télécharger Update Rollup 17 pour Azure Site Recovery

Matt Garton (MSFT – groupe ECM) a publié un billet sur la procédure à adopter pour déplacer la base de données WSUS vers SQL Server Always On. Son article revient sur les grandes étapes qu’il a adopté notamment lors du déplacement des bases de données ConfigMgr vers Azure avec SQL Always On Availability Groups.

Lire Moving the WSUS database to SQL Always On