Il semble qu’un problème touche les mises à jour du client Office 365 ProPlus publiées en Novembre 2019. Le problème concerne les canaux Monthly Channel (par exemple la Build 12130.20XXX) et Monthly Channel (Targeted). Vous constatez que les mises à jour n’arrivent pas à être téléchargées par le client ConfigMgr.

Vous observez les messages suivants dans le fichier CMBITSManager.log

Added CMBITS job with ID:{CD446E62-2AE1-4BCC-975C-2957F5673506}, DisplayName:Microsoft Office Click-to-Run

RemoteURL should be in this format - cmbits://<ContentID>/<Filepath>   

Added CMBITS job with ID:{4ADA1E3A-BE16-41A9-8624-5469D111A1F8}, DisplayName:C2RBitsCheckReachable 

RemoteURL should be in this format - cmbits://<ContentID>/<Filepath>

Added CMBITS job with ID:{77041F76-61C1-4433-B366-22563221EF64}, DisplayName:30b49775-6254-4374-a7c2-c1baff596567.1\Office\Data\v32.cab

Vous observez les messages suivants dans le fichier UpdatesDeployment.log

InstallUpdates Initiated by user

Unable to find CCM_PrePostActions.SiteSettingsKey=1

GetActions() did not succeed. 80070490.

ApplyCIs - JobId = {4F36B7B7-F590-49AF-B45C-89C94CC74AC0}   U

Update (Site_0EE68A30-3467-46BD-913E-33CB200D32DA/SUM_28b1e3a5-9d7f-48ef-ab15-e5d0d2e9c0ab) Progress: Status = ciStateDetecting, PercentComplete = 0, DownloadSize = 0, Result = 0x0  

Raising client SDK event for class CCM_SoftwareUpdate, instance CCM_SoftwareUpdate.UpdateID="Site_0EE68A30-3467-46BD-913E-33CB200D32DA/SUM_28b1e3a5-9d7f-48ef-ab15-e5d0d2e9c0ab", actionType 1l, value NULL, user NULL, session 4294967295l, level 0l, verbosity 30l  

Update (Site_0EE68A30-3467-46BD-913E-33CB200D32DA/SUM_28b1e3a5-9d7f-48ef-ab15-e5d0d2e9c0ab) Progress: Status = ciStateDownloading, PercentComplete = 0, DownloadSize = 0, Result = 0x0

Raising client SDK event for class CCM_SoftwareUpdate, instance CUpdatesJob({4F36B7B7-F590-49AF-B45C-89C94CC74AC0}): Job completion received. 

Not refreshing update presence state as error CI Info status received 

RefreshTopO365Update - Empty top O365 updateId, no need to refresh

Ce problème sera résolu avec la prochaine publication des mises à jour du client Office 365 ProPlus

Source : Reddit

Voici le récapitulatif des annonces faites par Microsoft concernant sa plateforme Microsoft Azure à l'occasion de l'événément Microsoft Ignite 2019.

Parmi les annonces, on retrouve notamment :

General

• Disponibilité Générale des Datacenter en Norvège. Les services Office 365, Dynamics 365, et Power Platform sont attendus dans cette région pour 2020.
• Azure Arc permet d’étendre la gestion Azure à toutes les infrastructures : Datacenter On-Premises, Services AWS, etc. Cette solution hybride est un portail unique de contrôle et de gestion afin de gérer des serveurs Windows, Linux, clusters Kubernetes, et services Azure. Plus d’informations.
• Microsoft améliore Azure Migrate et notamment la capacité d’évaluation des serveurs en offrant des découvertes sans agent.
• Disponibilité Générale d’Azure Bastion offrant une fonctionnalité de bastion sous la forme d’un service PaaS pour accéder de manière sécurisée en RDP ou SSH à vos machines virtuelles sans les exposer avec une adresse IP publique.
• Mise à jour du portail Azure avec :
  • Amélioration de l'expérience Home du portail : Amélioration de la clarté pour que les services et les instances pertinents soient mis en avant.
  • Nouvelles cartes de service : De nouvelles cartes de service présentent des informations contextuelles pertinentes pour chaque service.
  • Amélioration de l'expérience de navigation dans les services : simplification de la navigation dans l'offre en divulguant progressivement les services.
  • Intégration avec Microsoft Learn : Intégration contextuelle de formation gratuite dans des parties clés de l'expérience.
  • Amélioration de l'expérience de navigation des instances : mise à jour de l'expérience pour plus de 70 services avec des performances améliorées, de meilleures options de filtrage et de tri, un meilleur regroupement et la possibilité d'exporter vos listes de ressources dans un fichier CSV.
  • Amélioration de l'expérience Azure Resource Graph : réutilisez et partagez vos requêtes via Resource Graph Saved Queries.
  • Rafraîchissement automatique dans Azure Dashboard : Vous pouvez définir des intervalles de rafraîchissement automatique pour votre tableau de bord.
  • Icônes de service améliorées : Nouvelles icônes redessinées pour une meilleure cohérence visuelle et moins de distractions.
  • Panneau de configuration simplifié : meilleure séparation entre les paramètres généraux et la localisation.
  • Nouvelle page d’accueil pour l'application Azure Mobile : ajout d'une nouvelle page d'atterrissage qui apporte des informations importantes.

Azure Active Directory

• Disponibilité Générale d’Azure AD Entitlement Management permettant de gérer les accès des employés et des partenaires de manière automatisée avec une notion d’approbation, d’audit et de revue pour toutes les applications Cloud fédérées avec Azure AD (Office 365, Google Azure AD App Proxy, Salesforce, etc.)
• Microsoft annonce la Preview d’Azure AD Connect Cloud Provisioning permettant via un agent allégé de déployer des identités depuis une forêts Active Directory déconnectée vers le Cloud.
• Microsoft annonce aussi des partenariats sur la sécurisation de l’accès hybride avec F5 Networks, Zscaler, Citrix et Akamai afin de simplifier l’accès aux applications basées sur une authentification héritée (basée sur l’entête ou Kerberos). Il est maintenant possible d’appliquer des stratégies d’accès conditionnelle et la gouvernance d’identité pour ces applications héritées lorsqu’elles sont interconnectées avec ces fournisseurs.
• Mise à jour d’Azure Active Directory Identity Protection avec:
• Public Preview du mode Report-Only sur l’accès conditionnel (Conditional Access) permettant d’évaluer l’impact de nouvelles stratégies avant de les déployer sur l’ensemble de l’organisation. De plus, les entreprises qui ont un abonnement Azure Monitor, peuvent superviser l’impact en utilisant le nouveau workbook Conditional Access.
• Enfin, Microsoft travaille sur la refonte du portail MyApps pour rendre les applications plus facilement découvrables par l’utilisateur. L’administrateur peut organiser les applications en workspaces, etc.
• Public Preview du provisionnement des utilisateurs entrant à partir de SAP SuccessFactors. Vous pouvez mettre en œuvre une gestion de bout en bout du cycle de vie des identités couvrant l'ensemble des scénarios Joiner-Mover-Leaver en utilisant SuccessFactors comme "système d'enregistrement". Vos nouveaux employés peuvent être opérationnels dès leur premier jour et vous pouvez modifier ou révoquer automatiquement l'accès en fonction du rôle et du statut des employés dans SuccessFactors.
• Microsoft Authenticator est disponible dans l’abonnement gratuit d’Azure Active Directory permettant le déploiement Multi-Factor Authentication (MFA).
• Microsoft annonce la capacité de se connecter sans mot de passe avec une clé de sécurité FIDO2 pour l'accès aux ressources On-Premises. Le support des clés de sécurité FIDO2 dans les environnements hybrides est attendu pour début 2020.
• Disponibilité Générale de Google Federation permettant à un utilisateur invité d’utiliser son identifiant Google Social pour se connecter. Notez que depuis la Preview, Microsoft permet aussi la prise en compte des utilisateurs en @googlemail.com, le support par les clients Teams sur toutes les plateformes, etc.
• Public Preview de la librairie Microsoft Authentification Libraries (MSAL) pour Python et Java.
• Des nouveautés concernant Azure AD Domain Services avec
  • Le support d’Azure Workbooks.
  • Public Preview de la création d’une relation d’approbation unidirectionnelle entre un domaine On-Premises et Azure Active Directory Directory Domain Services (AADDS). Ceci permet d’éliminer le besoin de synchroniser les hashs de mot de passe, etc.
  • Le support des zones de disponibilité (Availability Zones)
  • Une nouvelle expérience de configuration

Azure Computer

• Disponibilité Générale d’Azure HPC Cache Service, un service qui permet d’exécuter des charges nécessitant de hautes performances de calcul sans avoir à adapter le code.
• Disponibilité Générale des machines virtuelles de Génération 2 supportant des extensions Intel Software Guard Extensions (Intel SGX), l'architecture de démarrage UEFI et la possibilité de fournir des machines virtuelles de grande taille (jusqu'à 12 To) et des disques OS dont la taille dépasse 2 To.  
• Disponibilité Générale des groupes de placement de proximité (Proximity placement groups) afin de fournir une capacité de groupement logique pour les machines virtuelles permettant de baisser la latence réseau entre un ensemble de machines virtuelles.
• Disponibilité des séries Da v4 et Das v4 de machines virtuelles Azure pour des applications à but général sur Linux et Windows. Disponibilité des séries Ea v4 et Eas v4 de machines virtuelles Azure pour des charges de travail qui requièrent beaucoup de mémoire sur Linux et Windows. Ces nouvelles machines virtuelles Azure disposent du dernier processeur AMD EPYC 7452 et jusqu'à 96 vCPU, 672 GiBs de RAM et 2400 GiBs de stockage temporaire sur SSD. Les machines virtuelles de la série Das et de la série Eas prennent en charge les disques SSD Azure Premium et supporteront des disques Ultra Disk prochainement.
• Preview de la série NVv4. Ces nouvelles machines virtuelles Azure sont équipées du dernier processeur AMD EPYC 7742 et seront les premières machines virtuelles Azure optimisées pour la visualisation à offrir les GPU AMD RADEON INSTINCT MI25.
• Preview de la série NDv2 de machines virtuelles Azure pour supporter les modèles de machine learning et les charges de travail d’entrainement des modèles IA distribués. On retrouve 8 GPUs NVIDIA Tesla V100 NVLINK interconnectés avec 32 GB de mémoire chacun.
• Arrivée prochaine de la série HBv2 pour les charges de travail HPC supportant jusqu’à 80 000 cœurs pour un seul job de travail.
• Azure Spot Virtual Machines : Microsoft va prochainement donner accès à des capacités de calcul non utilisées à des prix cassés. Ces machines créées pourront être interrompues à tout moment.
• Preview de nouvelles fonctionnalités sur les Scale Sets de machines virtuelles Azure :
  • Il est maintenant possible de créer un Scale Set vide et y ajouter diverses machines virtuelles.
  • Vous pouvez utiliser un Scale Set pour déployer une cluster SQL hautement disponible avec une haute disponibilité sur une zone.
  • Le provisionnement des machines virtuelles en utilisant des images personnalisées issues de la galerie d’image partagée Azure est possible.
  • Une stratégie de mise à l’échelle permet de contrôle l’ordre dans laquelle les machines virtuelles doivent être déprovisionnées.
• Azure VMware Solutions est disponible sur la région West Europe. Cette solution offre la possibilité d'exécuter un environnement VMware en natif sur Azure.
• On retrouve des nouveautés concernant SAP HANA :
  • Disponibilité Générale de SAP HANA sur des instances larges Azure qui utilisent des processeurs de seconde génération Intel Xeon Scalable (Cascade Lake) et la mémoire persistante Optane DC.
  • Les disques Azure Ultra Disk sont maintenant certifiés SAP HANA offrant jusqu’à 160K IOPS et 2 GBps de débit avec une latence inférieure à la milliseconde sur un seul disque.

Azure Network

• Public Preview d’Azure Firewall Manager pour gérer plusieurs instances de firewalls depuis une seule interface. Microsoft annonce des partenariats avec ZScaler, iboss et CheckPoint.
• Web Application Firewall est étendu avec trois nouvelles fonctionnalités : la protection des bots WAF, les stratégies WAF par site et le filtrage géographique.
• Disponibilité Générale du filtrage basé sur l’intelligence des menaces pour Azure Firewall afin d’être alerté et refuser le trafic vers et depuis les adresses IP et domaines malveillants connus en temps quasi réel. Les adresses IP et les domaines proviennent du flux d'informations sur les menaces de Microsoft.
• Preview d’Azure Peering Service qui cible les clients avec une stratégie privilégiant les réseaux Internet pour accéder aux services Azure et SaaS tels que Office 365. Grâce à un partenariat avec des fournisseurs de services Internet, les clients peuvent maintenant profiter du réseau mondial pour permettre une connectivité Internet fiable et optimisée aux services Microsoft.
• Disponibilité sur l’ensemble des régions d’Azure Private Link, un moyen sécurisé pour les entreprises dcoe consommer des services Azure comme Azure Storage ou SQL ou d’autres services de manière privée depuis leur réseau virtuel Azure (VNet).
• Disponibilité Générale des capacités d’interconnexion Satellite avec Azure ExpressRoute. Parmi les fournisseurs, on retrouve : SES, Intelsat, et Viasat.
• Microsoft a amélioré son service VPN pour supporter jusqu’à 10 GB de bande passante chiffrée agrégée.
• Microsoft annonce un partenariat avec Cisco pour intégrer la technologie Cisco SD-WAN avec Azure Virtual WAN et Office 365. Outre cette annonce, les partenaires Cloudgenix, Fortinet, Nokia-Nuage, et Silver Peak ont finalisé l’intégration avec Virtual WAN et propose une intégration immédiate.
• La disponibilité générale des Virtual Networks (VNET) Dual Stack (IPv4 + IPv6) est attendue pour la fin du mois. Ceci permet aux clients d'apporter leur propre espace privé IPv6 dans le VNet, évitant ainsi tout changement de routage.
• Azure Content Delivery Network se voit doter de Rules Engine pour permettre aux clients de personnaliser la façon dont les requêtes http sont traitées.
• Preview d’Azure Internet Analyzer, un nouveau service de mesure côté client permettant de tester A/B les infrastructures réseau et leur impact sur l'expérience de performance.

Azure Storage

• Preview du support de Change feed pour Microsoft Azure Blob Storage fournissant un journal garanti, ordonné, durable et en lecture seule de tous les événements de création, de modification et de suppression de changement qui surviennent sur les blobs du compte de stockage.
• Preview de plus petites tailles (4, 8 et 16 GB) sur Premium SSD, Standard SSD, et les Ultra Disks.
• Preview des nouvelles capacités d'éclatement (bursting) sur les disques Premium SSD applicables avec des performances jusqu'à 30 fois supérieures.
• Preview de l'accès multiprotocole ADLS qui fournit des fonctionnalités de blob de base avec Azure Data Lake Storage (ADLS) Gen2, y compris la journalisation, la hiérarchisation et l'intégration d’Event Grid.
• Azure Managed Disks permet maintenant le chiffrement côté serveur avec un scénario où les clés sont gérées par l’entreprise (BYOK). Cette fonctionnalité est disponible en Preview pour les disques Premium SSD, Standard SSD et Standard HDD.
• Azure Disk Encryption :
  • Il est maintenant possible de configurer Azure Disk Encryption via le portail Azure.
  • Support des dernières distributions Linux incluant : Red Hat Enterprise Linux 7.6/7.7 et CentOS Linux 7.6/7.7

Azure Stack

• Le portefeuille de solution proposé par Azure Stack Hub est étendu avec Azure Stack Edge (précédemment Azure Data Box Edge).
• Preview de Windows Virtual Desktop sur Azure Stack Hub.
• Le moteur AKS est disponible sur Azure Stack Hub.

Azure Data

• Azure SQL Data Warehouse devient Azure Synapse Analytics, un service d’analyse sans limite qui réunit le data warehouse d'entreprise et l'analyse de données volumineuses. Il est une évolution d’Azure SQL Data Warehouse.
• Disponibilité Générale d’Azure Data Share permettant d’avoir une seule interface donnant une vision sur le partage de données à travers les frontières de l’entreprise
• Preview Azure SQL Database Edge, un moteur de base de données à faible empreinte avec des fonctions d’IA qui est optimisé pour les scénarios Intelligent Edge.
• Preview de l’intégration entre Azure SQL Database avec Power Apps et Azure Stream Analytics.
• Disponibilité Générale d’Azure SQL Database Serverless, un service pour les bases de données individuelles qui s'échelonne automatiquement en fonction de la demande de charge de travail et de la quantité de calcul utilisée par seconde.
• Disponibilité Générale d’Azure Database for PostgreSQL Hyperscale, proposant une mise à l'échelle horizontale haute performance nécessitant des temps de réponse inférieurs à la seconde et un stockage pratiquement illimité jusqu'à 100 To.
• Preview d’Autopilot mode pour Azure Cosmos DB permettant une gestion automatique du débit provisionné pour des charges de travail imprévisibles, tout en maintenant des accords de niveau de service (SLA) et des performances élevées.

Azure Key Vault

• Azure Application Gateway v2 supporte l’intégration d’Azure Key Vault pour stocker les certificats TLS pour ses listeners HTTPS.
• De nouvelles stratégies (en Preview) permettent de gérer les certificats dans Azure Key Vault : Issuer Policy, Key Type Policy, Key Size Policy, Expiry Policy, Validity Lifespan Policy.
• L’extension de machine virtuelle Azure Key Vault est en disponibilité générale pour permettre aux applications exécutées sur des machines virtuelles d'utiliser plus facilement les certificats Azure Key Vault.
• Microsoft fournit gratuitement des certificats TLS pour les applications Azure sans surcoût et pour des domaines personnalisés. Azure renouvèle même automatiquement les certificats. Ceci est disponible pour Azure CDN, Azure Front Door, Azure App Service.

Azure Migrate

• De nouveaux scenarios de migrations sont proposés avec
  • Les applications web .NET migrées vers Azure App Service
  • Les infrastructures Virtual Desktop Infrastructure (VDI) vers Windows Virtual Desktop (WVD)
  • L’intégration des capacités de découverte et d’évaluation issues de l’acquisition de Movere. Ceci inclut la découverte des serveurs physiques On-Premises mais aussi la découverte des applications installées, rôles, fonctionnalités et versions sur les machines virtuelles afin d’identifier les chemins de migration. Ces capacités sont disponibles pour les machines virtuelles VMware.
• Preview de la visualisation des dépendances sans agent pour les machines virtuelles VMware.
• Disponibilité Générale de la migration sans agents des machines virtuelles VMware.
• Il est possible maintenant de réaliser la découverte via l’import d’un VSC afin d’uploader la configuration des machines virtuelles et les détails de performances.

Azure Kubernetes Service

• AKS est disponible dans 36 régions dont : Germany West Central, Switzerland North, Switzerland West et UAE North.
• AKS peut être géré par Azure Arc et hébergé On-Premises sur Azure Stack Hub et Azure Stack Edge.
• Preview de Dev Spaces Connect afin de permettre aux développeurs de développer et tester des services individuels sur leur station de travail.
• Disponibilité Générale du support des zones de disponibilité (Availability Zones), de la mise à l’échelle au niveau du cluster et multiples pools de nœuds.

Azure Backup

• Support de la sauvegarde de SQL Server 2019 dans des machines virtuelles Azure par Azure Backup.
• Disponibilité Générale du support de SQL Server 2008 et SQL Server 2008 R2 par Azure Backup.
• Nouvelle fonctionnalité permettant de restaurer SQL Server sous la forme d’un fichier de données (.bak) permettant ensuite de déplacer le fichier à travers des abonnements, régions, ou des serveurs On-Premises pour les restaurer.

Azure Security Center

• Nouvelles capacités de détection des mauvaises configurations et des menaces pour les conteneurs et SQL en mode IaaS.
• Support des conteneurs Kubertenes utilisant Azure Kubernetes Services (AKS).
• Nouvelles capacités d’évaluation des vulnérabilités pour les machines virtuelles.
• Intégration prochaine avec les recommandations provenant de partenaires Check Point, Tenable, et CyberArk.
• Preview de la protection d’Azure Key Vault pour les régions North America.
• De nouvelles détections de menaces sont disponibles pour Azure Storage pour détecter les téléchargements de logiciels malveillants vers Azure Storage en utilisant l'analyse de réputation de hachage et l'accès suspect à partir d'un noeud de sortie Tor actif (un proxy anonyme.) Vous pouvez maintenant visualiser les logiciels malveillants détectés sur les comptes de stockage en utilisant Azure Security Center.
• Les administrateurs peuvent créer des workflows avancés qui utilisent Azure Logic Apps.
• Extension de la fonctionnalité Customer Lockbox à d’autres services (en Preview) avec Azure Storage, Azure SQL Database, Azure Data Explorer, les dumps mémoire et disques gérés des machines virtuelles Azure et lors du transfert d’abonnement Azure.

Azure Sentinel

• De nouvelles requêtes Hunting permettront de requêter les événements Linux et réseau.
• On retrouve des connecteurs pour Zscaler, F5, Barracuda, Citrix, ExtraHop, OneIdentity, et TrendMicro.
• Azure Sentinel peut maintenant utiliser la puissance de la détonation d'URL pour enrichir les alertes et découvrir les menaces liées aux URL malveillantes. Lors de la création d'alertes planifiées, toutes les données URL dans les résultats de la requête peuvent être mappées à un nouveau type d'entité URL. Chaque fois qu'une alerte contenant une entité URL est générée, l'URL mappée est automatiquement déclenchée et le graphique d'enquête est immédiatement enrichi des résultats de la détonation. Un verdict, une URL finale et une capture d'écran (particulièrement utile pour identifier le phishing) peuvent être utilisés pour évaluer rapidement une menace potentielle. En guise de conseil rapide, lors de l'acquisition de données à partir d'un IDS ou d'un IPS, activez l'enregistrement des menaces pour enregistrer les données URL. Cette fonctionnalité est en Preview.
• Intégration avec l’API Graph Security permettant de synchroniser les alertes avec d’autres solutions, des solutions de ticketing tiers ou des solutions de gestion de sécurité.

Azure Monitor

• Preview d’Azure Monitor for Network pour surveiller les mesures clés et la santé des ressources réseau, découvrir les problèmes et dépanner.
• Azure Monitor for Cosmos DB : Vous pouvez désormais visualiser l'utilisation, les pannes, la capacité, le débit et les opérations des bases de données Azure Cosmos pour l'ensemble des abonnements.
• Disponibilité Générale de l’intégration de Prometheus avec Azure Monitor offrant notamment des métriques en temps réel sur les conteneurs.
• Support de la supervision des clusters Azure Kubernetes Services (AKS) hébergés On-premises et sur Azure Stack.
• Disponibilité Générale des Workbooks Azure Monitor.
• Intégration avec Azure Red Hat OpenShift.
• Microsoft propose un nouvel agent et ajout de capacités au profiling et tracing dans Application Insights.
• Amélioration de l’analyse des changements d’application afin la capacité de l’activer au niveau d’un abonnement App Service mais aussi une analyse d’impact pour voir les dépendances sous-jacentes.
• Nouvelle option de traitement accéléré dans Traffic Analytics pour traiter les journaux de flux NSG à un intervalle de 10 minutes.
• Preview d’une fonction permettant de voir en temps réel les métriques de performances et les déploiements des Clusters Azure Kubernetes Services (AKS).
• En utilisant les nouveaux paramètres de diagnostic d'abonnement, vous pouvez maintenant diffuser en continu tous les types de journaux d'activités pour votre abonnement aux journaux Azure Monitor, Event Hub, et Storage.

Azure AI

• Disponibilité Générale d’un nouveau service Azure Cognitive Service appelée Personalizer permettant aux entreprises de créer des interactions clients riches en donnant la priorité au contenu et aux expériences les plus pertinents dans chaque interaction client.
• De nouvelles fonctionnalités de service de reconnaissance vocale sont disponibles dans la Preview, notamment Custom Neural Voice qui permet aux clients de créer des voix de marque à l'aide de réseaux neuronaux profonds et la possibilité d'utiliser les données Office 365 pour créer automatiquement des modèles vocaux personnalisés optimisés.
• Mise à jour de Text Analytics incluant la capacité de détecter et d'extraire des informations personnellement identifiables dans les documents et la prise en charge étendue des types d'entités pour plus de 100 types d'entités.
• Un nouveau Bot Framework Composer permet de simplifier la création de bots grâce à une interface utilisateur graphique.
• Une nouvelle expérience web Studio (Preview) permet aux data scientists de tous les niveaux de compétence d'effectuer des tâches d'apprentissage machine de bout en bout, y compris la préparation des données, la formation sur les modèles, le déploiement et la gestion, de manière transparente.
• Designer (Preview) fournit des flux de travail par glisser-déposer pour simplifier le processus de création, de test et de déploiement de modèles d'apprentissage machine à l'aide d'une expérience visuelle.
• Automated machine learning user interface (Preview) aide les data scientists à construire des modèles sans écrire une seule ligne de code. Automatisez les tâches fastidieuses d'ingénierie des fonctionnalités, de sélection des algorithmes et de balayage des hyperparamètres, puis opérationnalisez le modèle en quelques clics de souris.
• Notebooks (Preview) sont une solution entièrement gérée pour les développeurs et les data scientists afin de démarrer facilement le Machine Learning, avec des environnements personnalisés préconfigurés qui éliminent le temps de configuration, tout en offrant aux administrateurs informatiques des fonctionnalités de gestion et de préparation à l'entreprise.
• D’autres nouveautés ont été annoncées sur Azure Machine Learning.

Azure Blockchain

• On retrouve une série d’améliorations sur Azure BlockChain.

Autres services

• Annonce d’Azure Spring Cloud, un service permettant de développer et déployer des applications Spring Boot avec une gestion par Microsoft et Pivotal.
• On retrouve diverses annonces sur les APIs.
• Publication du SDK Bot Framework en version 4.6.

Microsoft vient d’annoncer la mise à disposition d’un nouvel ensemble de fonctionnalités pour Microsoft Intune.

Les fonctionnalités suivantes sont ajoutées :

Enregistrement des périphériques

• [macOS] Amélioration de l’expérience d’enregistrement macOS dans le portail d’entreprise pour s’aligner avec l’expérience sur iOS. L’utilisateur voit une interface plus élégante, une liste de contrôle améliorée pour l'inscription, des instructions plus claires sur la façon d'enregistrer les périphériques, des options de dépannage améliorées.
• [Windows 10] La colonne Assignement type (type de déploiement) dans le portail d’entreprise Windows 10 dans Installed Apps a été renommée Required by your organization. Sous cette colonne, les utilisateurs verront une valeur Oui ou Non pour indiquer qu'une application est requise ou facultative par leur organisation. Ces modifications ont été apportées parce que les utilisateurs étaient confus par les applications disponibles.
• [Windows 10] Un nouveau rapport détaille les périphériques déployés via Windows Autopilot.
• [Android Enterprise] Microsoft a mis à jour l'expérience d’enregistrement pour les périphériques Android Enterprise Dedicated Devices. Les nouveaux enregistrements commencent toujours de la même façon (avec QR, NFC, Zero-touch, ou identifiant de périphérique) mais ont maintenant une étape qui demande aux utilisateurs d'installer l'application Intune. Les appareils existants commenceront à installer automatiquement l'application au fil de l’eau.

Gestion du périphérique

• [Windows 10] Vous pouvez éditer la valeur Device Name (Nom du périphérique) pour les périphériques Autopilot joint à Azure AD
• [Windows 10] Vous pouvez éditer la valeur Group Tag pour les périphériques Autopilot

Configuration du périphérique

• [Windows 10] Vous pouvez maintenant choisir quelle mise à jour de fonctionnalités Windows 10 vous souhaitez déployer via une stratégie de mises à jour logicielles. Ceci permet de bloquer un périphérique dans une version de Windows 10 même lorsqu’une nouvelle version est disponible. Les périphériques qui reçoivent la stratégie de mise à jour des fonctionnalités de Windows 10 installeront la version spécifiée de Windows, puis resteront à cette version jusqu'à ce que la stratégie soit modifiée ou supprimée. Les périphériques qui exécutent une version ultérieure de Windows restent dans leur version actuelle. Les périphériques qui sont conservés dans une version spécifique de Windows peuvent toujours installer des mises à jour de qualité et de sécurité pour cette version à partir des anneaux de mise à jour Windows 10.

• [Android Enterprise] Support de SCEP pour le déploiement de certificat de périphérique sur des périphériques Android Enterprise Dedicated Devices et pouvant être utilisé avec les profils Wi-Fi basés sur le certificat. L'application Microsoft Intune doit être présente sur le périphérique pour que le déploiement fonctionne. En conséquence, Microsoft a mis à jour l'expérience d’enregistrement pour les périphériques Android Enterprise Dedicated Devices. Les nouveaux enregistrements commencent toujours de la même façon (avec QR, NFC, Zero-touch, ou identifiant de périphérique) mais ont maintenant une étape qui demande aux utilisateurs d'installer l'application Intune. Les appareils existants commenceront à installer automatiquement l'application au fil de l’eau.

• [Android Enterprise] Sur les appareils Android Enterprise Fully Managed et Dedicated Devices, un nouveau paramètre permet d’empêcher les utilisateurs de créer des comptes Google personnels (Device configuration > Profiles > Create profile > Android Enterprise pour plateforme > Device Owner Only > Device Restrictions comme type de profil > Users and Accounts settings > Personal Google Accounts).
• [iOS/iPadOS] Le paramètre Server-side logging for Siri commands est supprimé des profils de restriction car il n’a pas d’effet sur les périphériques (Device configuration > Profiles > Create profile > iOS/iPadOS pour plateforme > Device restrictions comme type de profil > Built-in apps). Ce réglage n'a aucun effet sur les périphériques. Pour supprimer le paramètre des profils existants, il faut ouvrir le profil, effectuer la modification, puis enregistrer le profil. Le profil est mis à jour et le paramètre est supprimé des périphériques.
• [iOS/iPadOS] Vous pouvez configurer la connectivité email dans les profils de configuration de périphérique en naviguant dans Device configuration > Profiles > Create profile > iOS/iPadOS pour plateforme > Email comme type de profil. Ceci s’applique à iOS 13.0+ ou iPadOS 13.0+. Les nouveaux paramétrages sont :
  • Exchange data to sync : Choisissez les services Exchange à synchroniser (ou bloquer la synchronisation) pour le calendrier, les contacts, les rappels, les notes et les e-mails.
  • Allow users to change sync settings : Autoriser (ou bloquer) les utilisateurs à modifier les paramètres de synchronisation de ces services sur leurs périphériques.

• [macOS] Vous pouvez cibler les groupes d’utilisateurs macOS afin de forcer la gestion par Jamf. Ceci vous permet d'appliquer l'intégration de conformité Jamf à un sous-ensemble de périphériques macOS alors que les autres périphériques sont gérés par Intune. Si vous utilisez déjà l'intégration Jamf, Tous les utilisateurs seront ciblés pour l'intégration par défaut.
• [macOS] Vous pouvez créer une profil de configuration qui upload un fichier de liste de propriétés (.plist) associé à une application ou un périphérique en naviguant dans Devices > Configuration profiles > Create profile > macOS comme plateforme > Preference File pour type de profil. Seules certaines applications prennent en charge les préférences gérées, et ces applications peuvent ne pas vous permettre de gérer tous les paramètres. Assurez-vous de télécharger un fichier de liste de propriétés qui configure les paramètres de canal de l'appareil et non les paramètres de canal utilisateur. Ceci s’applique à macOS 10.7+

Gestion des applications

• [Général] Mise à jour de l’interface permettant de faire un effacement sélectif des données de l’application afin d’inclure :
  • Une expérience simplifiée grâce à l'utilisation d'un format de type assistant condensé dans un volet.
  • Une mise à jour du flux de création pour inclure les affectations.
  • Une page récapitulative de tout ce qui a été défini lors de l'affichage des propriétés, avant la création d'une nouvelle stratégie ou lors de la modification d'une propriété. De plus, lorsque vous éditez des propriétés, le résumé n'affichera qu'une liste d'éléments de la catégorie des propriétés en cours d'édition.
• [Windows 10] Les applications web peuvent être lancées à partir du portail d’entreprise Windows. Les utilisateurs finaux peuvent sélectionner l'application Web, puis choisir l'option Ouvrir dans le navigateur. L'URL publiée est ouverte directement dans un navigateur Web.
• [iOS] Support de S/MIME avec Outlook pour iOS.
• [iOS] Retour du support des claviers tiers dans les paramétrages de stratégies de protection des applications (APP/MAM) sur iOS. Ce paramétrage avait été supprimé en Mars 2019 et revient dans Data Protection sous Data Transfer avec le nom Third Party Keyboards.

Sécurité du périphérique

• [Général] Intune supporte Azure Active Directory (Azure AD) B2B Collaboration. Azure AD B2B Collaboration vous permet de partager en toute sécurité les applications et services de l’entreprise avec des utilisateurs invités de toute autre organisation, tout en gardant le contrôle de des données d'entreprise.
• [Windows 10] Les lignes de base de sécurité (Security Baselines) sont supportées sur Microsoft Azure Government.
• [Windows 10] Vous pouvez utiliser Microsoft Intune pour à distance faire la rotation des clés de restauration BitLocker pour des périphériques gérés qui exécutent Windows 1909+. Les périphériques doivent être configurés pour supporter la rotation des clés de restauration.

Autre

• [Général] Microsoft publie une nouvelle expérience de reporting en Public Preview avec de nouveaux types de rapports, une meilleure organisation des rapports, des vues plus ciblées, une fonctionnalité de rapport améliorée, ainsi que des données plus cohérentes et plus actuelles. La première vague se focalise sur des rapports liés à la conformité. Les nouveaux types de rapports se concentrent sur les points suivants :
  • Opérationnel - Fournit de nouveaux dossiers avec un focus sur les problèmes de santé.
  • Organisationnel - Fournit un résumé de l'état général.
  • Historique - Fournit des modèles et des tendances sur une période de temps.
  • Spécialiste - Vous permet d'utiliser des données brutes pour créer vos propres rapports personnalisés.
• [Général] Mise à jour de l’expérience de support dans le portail Intune. Microsoft a amélioré la recherche et les retours dans la console pour les problèmes courants, ainsi que le processus utilisé pour contacter le support technique. Lors de l'ouverture d'un problème de support, on retrouve des estimations en temps réel du moment l’on peut s’attendre à un rappel ou à une réponse par e-mail, et les clients de support Premier et Unified peuvent facilement spécifier une gravité, afin d'obtenir un support plus rapidement.
• [Général] Vous pouvez maintenant copier les rôles par défaut ou personnalisés via la fonction Copy a role.
• [Général] Deux nouvelles permissions (Assign Profile et Sync Device) ont été ajoutées au rôle School Administrator (Enrollment Programs). L'autorisation de profil de synchronisation permet au groupe d'administrateurs de synchroniser les périphériques de pilote automatique Windows. L'autorisation d'affectation de profil leur permet de supprimer les profils d'inscription Apple initiés par l'utilisateur. Il leur donne également la permission de gérer les affectations de périphériques et de profils de déploiement du pilote automatique.

Plus d’informations sur : https://docs.microsoft.com/en-us/intune/whats-new

Microsoft a mis à jour Outlook pour iOS et Android afin de limiter les données sensibles dans les notifications emails et dans les rappels de calendriers. Ainsi, l’application supprimera le support de certaines clés de configuration pour les stratégies de protection d’applications qui sont utilisées pour gérer les notifications :

• microsoft.outlook.Mail.NotificationsEnabled
• microsoft.outlook.Mail.NotificationsEnabled.UserChangeAllowed
• microsoft.outlook.Calendar.NotificationsEnabled
• microsoft.outlook.Calendar.NotificationsEnabled.UserChangeAllowed

Outre ces éléments, Microsoft recommande la configuration des paramétrages « Org data notifications » des stratégies de protection d’applications avec la valeur « Block Org Data ». A partir du 16 décembre 2019, l’application commencera à honorer le paramétrage et ne supportera pas les clés citées ci-dessus.

En outre, ce changement permet l’utilisation d’un nouveau paramétrage de configuration d’applications : Calendar Notifications permettant de limiter l’exposition des données sensibles.

Plus d’informations :

• App protection policy settings, Android
• App protection policy settings, iOS
• Deploying Outlook for iOS and Android app configuration settings

Microsoft vient de mettre à disposition la Technical Preview 1911 (5.0.8909.1000) de Microsoft Endpoint Manager Configuration Manager. Pour rappel, Microsoft a annoncé le renommage de System Center Configuration Manager pour faire partie d’une même suite avec Microsoft Intune, Desktop Analytics, Autopilot, etc. sous le nom Microsoft Endpoint Manager. L’outil ne fait donc plus parti de la gamme System Center. Si vous souhaitez installer cette Technical Preview, vous devez installer la Technical Preview 1911 puis utiliser la fonctionnalité Updates and Servicing (nom de code Easy Setup).

System Center Configuration Manager TP 1911 comprend les nouveautés suivantes :

Annonce

• Configuration Manager ne fait plus partie de la gamme System Center et Microsoft créé un ensemble de solutions appelés Microsoft Endpoint Manager comprenant : Configuration Manager, Microsoft Intune, Desktop Analytics, Windows Autopilot, etc.

Administration

• Support de Microsoft Connected Cache (anciennement DOINC) pour les applications Windows 32 déployées via Microsoft Intune sur les périphériques cogérés. L’application doit faire à minima 100 MB pour bénéficier de cette fonctionnalité. Vous devez avoir créé l’application dans Microsoft Intune après novembre 2018 pour que cela fonctionne.

Plus d’informations sur : https://docs.microsoft.com/en-us/sccm/core/get-started/2019/technical-preview-1911

Microsoft a publié le Service Pack 2 (version 4.6.34.0) de Microsoft Identity Manager 2016.

Vous pouvez retrouver :

• Le chemin de mise à niveau
• Les considérations particulières de MIM avec SharePoint 2019

Parmi les changements et améliorations, on retrouve :

• Ajout du support du composant additionnel MIM pour Outlook afin qu’il puisse être chargé sur Outlook d’Office 365 Click-To-Run.

Service et Portail

• Support de l’installation et de l’utilisation du service et du portail MIM avec Windows Server 2019, SQL Server 2017, Exchange Server 2019, SharePoint 2019, System Center Service Manager Data Warehouse 2019.
• Support du service MIM et de l'installation du portail dans les environnements TLS 1.2 uniquement.
• Support de l'installation des sites Web MIM Service, Password Reset et Password Registration afin d’utiliser les comptes de service gérés par groupe.
• Nouveau paramètre d'installation "keepSQLjobs" introduit pour garder intacts les travaux existants liés à l’Agent SQL MIM (garder les propriétés et la planification), par exemple, "msiexec /p'MIMService_KB4512924.msp' keepSQLjobs=true".
• Ajout d'une étape supplémentaire aux tâches temporelles de l'agent SQL MIM pour sauter l'exécution sur les réplicas de groupes de disponibilité AlwaysON SQL Server.
• Ajout de code pour gérer les attributs virtuels "ExplicitMember.Add" et "ExplicitMember.Remove" dans les formulaires RCDC pour les types d'objets personnalisés.
• Le rafraîchissement du schéma MIM Service MA n'entraîne plus la corruption des règles de synchronisation.
• Amélioration de l'accessibilité pour les clients grâce à l'utilisation du portail MIM et d'un lecteur d'écran.

Service de synchronisation

• Support de l’installation et l’utilisation du service de synchronisation MIM avec Windows Server 2019, SQL Server 2017, et Exchange Server 2019.
• Installation possible dans les environnements TLS 1.2 uniquement.
• Support de l'installation du service de synchronisation MIM en utilisant un compte de service géré par groupe.
• Ajout de l'option "Use MIMSync account" pour que l'agent de gestion des services MIM utilise les informations d'identification de compte du service de synchronisation géré par groupe pour se connecter au service MIM et à la base de données des services MIM.
• Amélioration de l'accessibilité pour les clients en utilisant le MIM Synchronization Service Client avec un lecteur d'écran.

Gestion des accès à privilèges

• Le cmdlet PowerShell "Get-PAMRequest" retourne une propriété supplémentaire.
• Support de l'installation de PAM Monitoring Service, PAM Component Service en utilisant des comptes de service gérés par groupe.

Note : Cette version requiert Visual C++ Redistributable Packages for Visual Studio 2013

Plus d’informations sur : https://docs.microsoft.com/en-us/microsoft-identity-manager/reference/version-history

Télécharger :

• Sur VLSC
• Sur Visual Studio downloads
• Sur le Centre de Téléchargement Update for Microsoft Identity Manager 2016 (KB4512924)

Quelques semaines après sa disponibilité générale, Microsoft vient de mettre à disposition la version 2.5.33.0 du client Unified Labeling d’Azure Information Protection sur Windows Update.

La version 2.5.33.0 du client AIP Unified Labeling comprend les fonctionnalités suivantes:

• La version Preview du Scanner Unified Labeling pour inspecter, labéliser/étiqueter les documents sur les serveurs internes.
• Set-AIPAuthentication a de nouveaux paramètres : AppId, AppSecret, TenantId, DelegatedUser, et OnBehalfOfOf
• Nouvelle cmdlet, Export-AIPLogs, pour rassembler tous les fichiers journaux de %localappdata%\Microsoft\MSIP\Logs et les enregistrer dans un seul fichier compressé qui a un format.zip.
• Nouveau paramétrage avancé de stratégie pour l’étiquetage PowerShell afin d’étendre les règles de migration de label aux propriétés SharePoint.
• Le label/étiquette applique affiche la couleur configurée pour le label/l’étiquette, si une couleur a été configurée.
• Lorsque vous ajoutez ou modifiez des paramètres de protection à un label/étiquette, le client applique à nouveau le label/étiquette avec ces derniers paramètres de protection lors du prochain enregistrement du document.
• Support des ordinateurs déconnectés en exportant les fichiers d'un client et en les copiant manuellement sur l'ordinateur déconnecté.
• Les types d'informations sensibles personnalisés correspondants sont envoyés à Azure Information Protection Analytics.

La version 2.5.33.0 du client AIP Unified Labeling comprend les corrections de bugs suivantes:

• Le problème de cache MIP SDK récemment découvert a un impact sur les clients AIP Unified Labeling. Ce problème peut empêcher les clients AIP UL de télécharger les mises à jour des polices.
• Vous pouvez ouvrir avec succès un fichier protégé à l'aide de l'Explorateur de fichiers et cliquez avec le bouton droit de la souris après avoir supprimé un mot de passe pour le fichier.
• Les fichiers sans droits d'exportation peuvent maintenant être ouverts avec la visionneuse.

• Réinitialiser les paramètres supprime maintenant les dossiers %LocalAppData%\Microsoft\MSIP\mip\<ProcessName.exe> au lieu du dossier %LocalAppData%\Microsoft\MSIP\mip\<ProcessName>\mip.
• Get-AIPFileStatus inclut maintenant l'ID du contenu d'un document protégé.

Azure Information Protection sur Windows Update

Microsoft a travaillé au cours des derniers mois pour apporter le même niveau de gestion à l’application mobile Microsoft Edge que ce qui était proposé avec le navigateur géré (Managed Browser) via Microsoft Intune. Microsoft vient d’annoncer la fin de support du navigateur géré (Managed Browser) Intune à partir du 27 Janvier 2020. L’application ne sera plus disponible dans les Store éditeur (AppStore et Google Play Store) à partir du 1^er Février 2020.

A ce stade, vous pourrez toujours cibler de nouvelles stratégies de protection d’applications Managed Browser, bien qu’il ne soit plus possible de télécharger l'application Intune Managed Browser. De plus, sous iOS, les nouveaux liens Web qui sont poussés sur les périphériques, s'ouvriront dans Microsoft Edge au lieu du navigateur géré (Managed Browser).

Le 31 mars 2020, le navigateur géré (Managed Browser) sera retiré du portail Microsoft Intune. Il ne sera plus possible de créer de nouvelles stratégies pour le navigateur géré. Si vous aviez déjà mis en place des stratégies de gestion de navigateur, elles ne seront pas affectées. Le Navigateur géré s'affichera dans la console en tant qu'application métier sans icône, et les stratégies existantes s'afficheront comme ciblant l'application. À ce moment, Microsoft supprimera également l'option de rediriger le contenu Web vers le navigateur géré dans la section Protection des données des stratégies de protection d’applications.

Afin d’assurer une transition en douceur vers Microsoft Edge, vous devez :

1. Ciblez Microsoft Edge pour iOS et Android avec la stratégie de protection d’applications (également appelée APP/MAM) et les paramètres de configuration des applications. Vous pouvez réutiliser vos stratégies du navigation gérées pour Microsoft Edge en ciblant simplement ces stratégies existantes sur Microsoft Edge.
2. Vérifiez que toutes les applications protégées par APP/MAM dans votre environnement ont le paramètre de stratégie de protection des applications " Restrict web content transfer with other apps" défini sur " Policy managed browsers".
3. Ciblez toutes les applications protégées par APP/MAM- avec le paramètre de configuration de l'application "com.microsoft.intune.useEdge" réglé sur true. A la version 1911 de Microsoft Intune, vous pourrez accomplir les étapes 2 et 3 simplement en configurant le paramètre " Restrict web content transfer with other apps" pour que "Microsoft Edge" soit sélectionné dans la section Protection des données de vos stratégies de protection d’applications.

Note le support des liens web sur iOS et Android est attendu prochainement.

Plus d’informations sur : https://techcommunity.microsoft.com/t5/Intune-Customer-Success/Use-Microsoft-Edge-for-your-Protected-Intune-Browser-Experience/ba-p/1004269

Microsoft a mis en ligne les enregistrements d’une série de Webinars sur Azure Active Directory. Ces enregistrements sont disponibles sur la chaine Youtube Identity de Microsoft. Parmi les épisodes, on retrouve :

• How to start your journey to zero trust
• Empower your users with better IT scalability
• How to upgrade your security with Azure Multi-Factor Authentication
• Take your apps to the next level with provisioning from Azure Active Directory
• How to integrate applications with Azure Active Directory
• How to get started with hybrid identity in Azure Active Directory

Ces vidéos sont une bonne introduction à Azure Active Directory.

Il y a plus d’un an, Microsoft annonçait la dépréciation de la gestion des périphériques mobiles (MDM) en mode hybride via System Center Configuration Manager couplé à Microsoft Intune. Le support s’arrêtait le 1^er septembre dernier mais Microsoft n’a pas retiré le backend du service. Cette opération est prévue le 15 décembre. Depuis le 1^er décembre, les périphériques gérés dans ce mode ne reçoivent plus de stratégies, d’applications, etc. Ils deviennent non gérés.

Si vous n’avez pas migré ou si vous êtes bloqué en cours de migration, vous devez vous rapprocher le plus rapidement possible du support Microsoft.

Microsoft vient de publier une mise à jour (1.4.32.0) à Azure AD Connect. Azure Active Directory Connect (AADC) est anciennement DirSync et Azure Active Directory Sync (AAD Sync). Pour rappel, l’outil a été développé afin de fournir aux utilisateurs une identité hybride commune à travers les services on-premises et cloud en utilisant Active Directory connecté à Azure Active Directory. Ainsi, les utilisateurs peuvent bénéficier d’une identité commune pour les comptes à travers Office 365, Intune, des applications SaaS et des applications tierces.

La version n’est pour l’instant disponible que via le mécanisme de mise à niveau automatique.

Cette version corrige un problème avec les périphériques Hybrid Azure AD existants. Cette version contient une nouvelle règle de synchronisation des périphériques qui corrige ce problème. Notez que ce changement de règle peut entraîner la suppression de périphériques obsolètes d'Azure AD. Ceci n'est pas préoccupant, car ces objets ne sont pas utilisés par Azure AD lors de l'accès conditionnel. Pour certains clients, le nombre de périphériques qui seront supprimés par cette modification de règle peut dépasser le seuil de suppression.

En raison d'un changement de schéma interne dans cette version d'Azure AD Connect, si vous gérez les paramètres de configuration de la relation de confiance ADFS avec MSOnline PowerShell, vous devez mettre à jour votre module MSOnline PowerShell à la version 1.1.183.57 ou supérieure

Plus d’informations sur les fonctionnalités et les différences : https://docs.microsoft.com/en-us/azure/active-directory/hybrid/reference-connect-version-history#14320

Télécharger Microsoft Azure Active Directory Connect

Microsoft publie une nouvelle version (Novembre 2019) d’Azure Data Studio, précédemment connu sous le nom SQL Operations Studio. Azure Data Studio offre une expérience d'éditeur moderne avec IntelliSense, des extraits de code, l'intégration du contrôle des sources et un terminal intégré.

Les utilisateurs passent de plus en plus de temps à travailler sur l'édition des requêtes que sur toute autre tâche avec SQL Server Management Studio. Pour cette raison, Azure Data Studio a été conçu pour se concentrer en profondeur sur les fonctionnalités les plus utilisées, avec des expériences supplémentaires disponibles comme des extensions optionnelles. Cela permet à chaque utilisateur de personnaliser son environnement comme il utilise le plus souvent.

Cette version intègre les changements suivants :

• Support de SQL Server 2019 avec notamment le déploiement et la gestion des clusters Big Data SQL Server 2019 avec l’assistant et le tableau de bord de contrôle mais aussi la gestion des listes de contrôle d’accès HDFS, l’ajout de point de montage en utilisant la boite de dialogue HDFS tiering,etc.
• De nouvelles fonctionnalités pour les notebooks avec notamment
  • Les notebooks PowerShell se voient doter du support de PowerShell Kernel,
  • Le déploiement/repliement des cellules de code,
  • L’amélioration des performances dans les notebooks
• Support de Jypyter Book
• Disponibilité générale des extensions Schema Compare et SQL Server Dacpac
• Annonce de l’extension Visual Studio IntelliCode
• Corrections de bugs

Quand utiliser Azure Data Studio ?

• Vous devez utiliser macOS ou Linux
• Vous devez vous connecter sur un cluster big data SQL Server 2019
• Vous passez plus de temps à éditer ou exécuter des requêtes
• Vous voulez de visualiser rapidement des graphiques et de visualiser des ensembles de résultats
• Vous avez un besoin minimal d’assistants
• Vous n'avez pas besoin de faire de configuration administrative profonde

Quand utiliser SQL Server Management Studio ?

• Vous passez la plupart de votre temps à des tâches d'administration de bases de données.
• Vous avez besoin de faire une configuration administrative importante
• Vous effectuez la gestion de la sécurité, y compris la gestion des utilisateurs, l'évaluation des vulnérabilités et la configuration des éléments de sécurité.
• Vous utilisez les rapports pour SQL Server Query Store
• Vous devez faire des optimisations de la performance et utiliser des tableaux de bord
• Vous avez besoin d'accéder aux serveurs enregistrés et de contrôler les services SQL Server sous Windows

Plus d’informations : https://cloudblogs.microsoft.com/sqlserver/2019/11/05/the-november-2019-release-of-azure-data-studio-is-now-available/

Pour rappel, ces outils sont disponibles depuis Windows, macOS, et Linux pour permettre de gérer SQL Server, Azure SQL Managed Instance, Azure SQL Database, Azure SQL Data Warehouse, et SQL Server 2019 Big Data Clusters.

Télécharger Azure Data Studio

Microsoft vient d’annoncer la disponibilité générale de la nouvelle interface graphique permettant de gérer les infrastructure Windows Server : Windows Admin Center en version 1910.

Parmi les nouveautés, on retrouve notamment les capacités :

• La capacité d’interconnecter les serveurs On-Premises avec les agents Azure Arc. Pour rappel, Azure Arc fournit un moyen centralisé de gestion unifiée et de gouvernance à partir de Microsoft Azure
• Intégration avec Azure Security Center pour les scénarios de supervision de menaces de bout en bout pour les charges de travail dans Azure et On-Premises.  
• Il est maintenant possible d’activer en quelques clics un ensemble d’alertes par défaut pour être notifier par email de l’état de santé des performances de serveurs et de clusters via Azure Monitor.
• Azure Extended Networking facilite l'extension des réseaux de serveurs On-Premises et des sous-réseaux IP à Azure sans rompre les dépendances IP. Cette fonctionnalité élimine certaines des complexités de la connexion de réseau On-Prem au cloud.
• Vous pouvez créer de nouvelles machines virtuelles Azure à partir de l’interface et gagner de la capacité serveur supplémentaire en quelques clics seulement.
• Storage Migration Service aide à migrer les serveurs de fichiers On-Premises vers Azure et mettre à niveau vers des versions plus récentes de Windows Server dans le processus. En utilisant le WAC, vous pouvez créer des machines virtuelles Azure à la volée pendant la migration, les dimensionner automatiquement, les doter de stockage formaté et les joindre à votre domaine - tout en vous permettant de migrer des systèmes d'exploitation existants, Samba sous Linux et des serveurs autonomes vers les dernières versions des clusters Windows Server et failover.
• L'intégration avec Azure File Sync vous permet maintenant de configurer Storage Sync Services et de configurer Azure File Sync pour vos serveurs On-Premises sans jamais quitter WAC.
• Windows Admin Center supporte la création de machines virtuelles à la volée durant la configuration d’un nouveau partenariat de synchronisation asynchrone afin d’utiliser Azure comme site secondaire pour Storage Replica.
• Preview d’un tableau de bord de suivi des performances (Performance Monitor) d’un serveur.
• Windows Admin Center supporte maintenant le Live Migration entre des serveurs et des clusters Hyper-V
• Intégration des outils d’administration IIS dans Windows Admin Center afin d’offrir une simplification de la gestion des applications Web.
• Windows Admin Center intègre un nouvel outil de supervision des packets afin de faciliter le dépannage et le diagnostic réseau.
• Intégration de nombreuses améliorations sur les outils par défaut.
• Intégration d’un assistant permettant de faciliter le déploiement initial des clusters Hyperconvergés (HCI) ainsi que des outils pour la gestion d’Azure Stack HCI et des systèmes hyperconvergés Windwos Server 2019.

On retrouve aussi de nouvelles extensions partenaires pour Dell EMC et HPE ainsi que la mise à jour d’extensions existantes comme DataON, Lenovo, QCT et Thomas-Krenn.AG.

Pour les entreprises qui utilisent la version 1906 de Windows Admin Center, vous devez mettre à jour vers la version 1910 dans les 30 jours pour rester sous support.

Télécharger Windows Admin Center 1910

Avec l’arrivée de SQL Server 2019, Microsoft propose une série de vidéos permettant d’appréhender et introduire cette nouvelle version. Parmi les sujets, on retrouve :

• Introduction à SQL Server 2019
• Unifiez vos lacs de données avec HDFS
• Aperçu du déploiement de Clusters Big Data
• Introduction à la virtualisation de données
• SQL Server 2019 dans des conteneurs

Vous pouvez retrouver les vidéos sur la chaine Youtube de SQL Server.

Outre ces vidéos, Microsoft propose des labs sur les nouvelles fonctionnalités.

Il y a des habitudes qui peuvent parfois être chamboulées par des nouvelles fonctionnalités et c’est l’objet de cet article aujourd’hui. Si vous utilisez System Center Configuration Manager, vous avez dû définir vos limites (Boundaries) et groupes de limites (Boundary Groups).

Ces dernières sont utilisées pour différents éléments :

• Assigner le client à un site
• Associer des systèmes de site dont notamment :
  • Un ou des point(s) de distribution pour la récupération du contenu
  • Un ou des State Migration Points pour la sauvegarde des données utilisateurs
  • Un ou des Software Update Points pour la récupération des métadonnées des mises à jour logicielles

Auparavant, j’avais l’habitude de conseiller de bien séparer les groupes de limites en fonction des usages en dédiant :

• Un groupe de limites pour l’assignation des clients à un site,
• Un groupe de limites pour l’association du contenu (Points de distribution)
• Un groupe de limites pour l’association au Software Update Point

Cette méthode permet facilement de voir comment est configurée l’infrastructure et comment les clients sont gérés pour chacun des éléments administratifs.

Néanmoins, j’ai récemment découvert que ce Design n’était pas adéquat lors de l’utilisation de Delivery Optimization. Notamment lorsque System Center Configuration Manager est utilisé pour configurer les groupes de Delivery Optimization (Group ID) en fonction des groupes de limites. Cette option (Use Configuration Manager Boundary Groups for Delivery Optimization Group ID) des paramétrages du client est très utile pour la configuration de Delivery Optimization puisqu’elle permet de configurer les groupes DO en fonction du découpage des groupes de limites qui eux même représentent votre découpage réseau/physique.

Or cette fonctionnalité ne gère pas l’overlapping / la superposition des groupes de limites et ce quel que soit l’usage (assignation du client à un site ou association des systèmes de site). Ainsi si le client appartient à plusieurs groupes de limites, System Center Configuration Manager assigne celui qui a été créé en premier.  Puisqu’en général, j’avais l’habitude de créer le groupe de limites d’assignation au site, qui contient l’ensemble des limites ; tous les clients se voyaient attribuait le même groupe de limites. Ainsi les clients se mettaient à partager le contenu à travers le WAN de l’entreprise, engendrant des surcharges.

Comment gérer ses Boundary Groups lors de la configuration des groupes de Delivery Optimization par SCCM ?

Vous avez plusieurs options :

• Remettre à plat vos Boundary Groups afin d’éviter la superposition et s’assurer qu’un client n’a qu’un seul et unique Boundary Group. Ceci change le design décrit précédemment et attribue toutes les fonctions à chaque Boundary Group représentant l’emplacement physique.
• Garder un design avec des superpositions de Boundary Groups mais appliquer le paramétrage DORestrictPeerSelectionBy avec une valeur à 1 par l’une des trois méthodes :
  • GPO avec le paramétrage Select a method to restrict Peer Selection
  • MDM avec DeliveryOptimization/DORestrictPeerSelectionBy
  • SCCM 1910 et cocher la case suivante dans les options du groupe de limites : During peer downloads, only use peers within the same subnet.

Bien que les clients aient potentiellement tous le même identifiant de groupe Delivery Optimization, ce paramétrage permet de forcer la machine à utiliser des clients qui ne sont que sur son sous réseau.

Microsoft vient de publier une mise à jour (4924.1000) des modèles d’administrations (ADMX, ADML) Active Directory et des outils de personnalisation (OCT) pour Office 2016, Office 2019 et Office 365 ProPlus. Les modèles d’administrations pour Active Directory permettent d’ajouter les paramètres permettant de personnaliser les options d’Office 2019. Cette mise à jour permet par exemple de définir si vous laissez afficher els options pour Office Insider dans la partie Fichier > Compte.

Télécharger Administrative Template files (ADMX/ADML) and Office Customization Tool for Office 365 ProPlus, Office 2019, and Office 2016

J’ai une question qui m’a souvent été posée, c’est : Doit-on déployer les mises à jour intelligente de sécurité/mises à jour de définitions si vous utilisez un autre antivirus et que vous n’utilisez donc pas Microsoft Defender Antivirus ?

Il y a quelques années, on pouvait surement répondre Non même si le principe de précaution pouvait amener à déployer ces mises à jour de définitions au cas où une machine se retrouverait sans l’Antivirus de référence. Cette raison est bien entendu encore valable mais il existe maintenant d’autres raisons qui peuvent amener à devoir déployer ces mises à jour intelligente de sécurité.

Microsoft/Windows Defender Antivirus peut fonctionner dans trois modes :

• Activé/Démarré: Aucun autre antivirus est installé ; Microsoft Defender Antivirus est l’antivirus de référence sur la machine.
• Passif: L’entreprise utilise un autre antivirus mais a décidé d’utiliser Microsoft Defender Advanced Threat Protection (ATP) afin d’offrir une protection supplémentaire (EDR, etc.) fournissant les mises à jour intelligente de sécurité, l’analyse de fichiers et les informations de détection.
• Désactivé: L’entreprise utilise un autre antivirus sans solution additionnelle.

Par conséquent, vous devez déployer ces mises à jour de définition/sécurité intelligente dans les scénarios suivants :

• Vous utilisez Windows/Microsoft Defender Antivirus comme antivirus principal
• Vous utilisez un antivirus tiers ainsi que Microsoft Defender Advanced Threat Protection (ATP)
• Vous souhaitez assurer une couverture au cas où l’antivirus tiers de référence viendrait à être supprimé de la machine.

Ce mois-ci (novembre 2019), Microsoft va ajouter le support du déploiement de certificats via SCEP sur Microsoft Intune pour les périphériques Android Enterprise dans un mode Dedicated Devices. Il va devenir possible d’utiliser ces certificats comme méthode d’authentification pour les profils Wi-Fi déployés par Microsoft Intune. L’application Microsoft Intune est obligatoire pour permettre le déploiement des certificats

Un changement va donc être opéré au service :

• Pour les nouveaux périphériques Android Enterprise Dedicated Devices : Les utilisateurs verront des étapes différentes sur les périphériques pendant l’enregistrement. L’enregistrement commencera toujours comme actuellement (avec QR, NFC, Zero-touch, ou identifiant de périphérique) mais en novembre, il y aura une étape d'installation obligatoire de l'application Microsoft Intune.
• Pour les périphériques Android existants enregistrés Dedicated Devices : Intune commencera à installer automatiquement l'application Microsoft Intune sur les appareils à partir de début novembre. Vous n'avez pas besoin de faire quoi que ce soit. L'application se téléchargera et s'installera automatiquement sur les périphériques.

Microsoft planifie aussi l’ajout du support des certificats SCEP pour des profils VPN prochainement.

Plus d’informations sur : Support for SCEP certificates in Android Enterprise dedicated devices

Demain signe le début de l’événement Microsoft Ignite The Tour organisé par Microsoft à Paris. Pour ma part, j’animerai une session le mercredi 13 de 16h30 à 17h15 sur les bonnes pratiques pour transformer et cibler une gestion moderne des postes de travail. Nous aborderons de nombreux aspects avec notamment des bonnes pratiques pour aborder chaque étape de cette transition.

Vous pouvez toujours vous inscrire via l’adresse : Microsoft Ignite The Tour

Aujourd’hui signe la fin de support de Windows 10 1703 pour les éditions Home, Pro, and Pro for Workstations. Ainsi, le Patch Tuesday de novembre 2019 était le dernier pour cette version dans ces éditions et Microsoft ne publiera plus de mises à jour de sécurité. Les éditions Enterprise et Education sont supportées jusqu’en Novembre 2020.

Microsoft recommande donc la mise à jour des périphériques Windows 10 1803 Pro vers une version ultérieure.

Vous pouvez pour cela utiliser :

• System Center Configuration Manager si le périphérique est cogéré en le mettant à jour via les plans de maintenance Windows 10 ou les séquences de tâches
• Microsoft Intune en créant des anneaux de mises à jour (Update Rings)

Plus d’informations sur : https://support.microsoft.com/en-us/help/13853/windows-lifecycle-fact-sheet

Il existe de nombreux avantages à faire passer les machines Windows 10 jointes au domaine Active Directory dans un mode Hybid Azure AD Join ou anciennement Domain Join++ (DJ++). Ce mode permet par exemple d’accéder aux ressources Cloud avec du Single Sign-On (Office 365, etc.). En outre, cela permet de bénéficier de scénarios tels que l’enregistrement automatique dans Microsoft Intune ou l’authentification sur la Cloud Management Gateway de System Center Configuration Manager.
Pour atteindre cet état, les machines doivent donc s’enregistrer dans Azure Active Directory.

Normalement, il est possible de rendre Hybrid Azure AD Join une machine Windows 10 à partir de Windows 10 1511/1607.

Néanmoins, il est préférable de privilégier Windows 10 1803 ou une version ultérieure.

En effet une machine jointe à Active Directory, peut déjà avoir réalisé un enregistrement (hors Hybrid Azure AD Join) en se connectant à un service porté par Azure AD (tel qu’Office 365). Dans ce cas, la machine remonte comme Azure AD Registered.

Avant Windows 10 1803, la jointure Hybrid Azure AD engendre des enregistrements dupliqués avec :

• Un enregistrement Hybrid Azure AD
• Un enregistrement Azure AD Registered

Ceci peut rendre difficile :

• La gestion des machines dans Azure AD du fait des enregistrement dupliqués
• La gestion des machines par Microsoft Intune car le mauvais enregistrement peut être inséré dans un groupe AAD utilisé pour les déploiements
• Eviter des problèmes avec Windows Hello for Business.

A partir de Windows 10 1803 (avec KB4489894) ou ultérieur :

• Tout état Azure AD Registered existant est automatiquement supprimé une fois que le périphérique est joint en mode Hybrid Azure AD.
• Vous pouvez empêcher l'enregistrement dans Azure AD de périphérique joint au domaine en ajoutant cette clé de registre - HKLM\SOFTWARE\Politiques\Microsoft\Windows\WorkplaceJoin, "BlockAADWorkplaceJoin"=dword:00000001.

Pour plus d’informations sur l’implémentation d’Hybrid Azure AD Join.

Michael Niehaus signale des changements sur le module PowerShell pour Windows Autopilot avec l’arrivée de la version 3.4.

Cette version (à partir de 3.0) introduit de nombreux changements dont un changement dans la logique d’authentification. Auparavant, le module utilisait sa propre logique à partir de cette version, il utilise l’authentification via les classes Graph API Intune. Ceci évite une double authentification lors de la réalisation d’actions sur Microsoft Intune.

La version 3.2 introduit la cmdlet GetèAutopilotProfileAssignedDevices permettant de lister les périphériques avec un profil spécifique.

Vous pouvez l’installer avec la cmdlet : Install-Module -Name WindowsAutoPilotIntune

Télécharger le module WindowsAutopilotIntune

Microsoft a publié une série de vidéos très intéressantes sur les fondamentaux de sécurité et de risque dans le Cloud avec Office 365. On retrouve notamment :

• Microsoft Online Services Incident Management
• Microsoft Online Services Continuity Management
• Office 365 Security Development and Operation
• Office 365 Access Controls
• Office 365 Vulnerability Management
• Office 365 Audit Logging and Monitoring

Microsoft vient de créer un portail Wiki sur GitHub pour Azure Sentinel. Ce portail fournit des bonnes pratiques, de la documentation, des exemples pour bien démarrer sur Azure Sentinel. Ce portail est l’endroit idéal pour retrouver des contributions qui viennent de Microsoft ou de la communauté. Outre le Wiki, vous retrouvez aussi des requêtes, des Notebooks, des Playbooks, etc.

Pour rappel Azure Sentinel est une Security Event Information Management (SIEM) en mode SaaS hébergée sur la plateforme Azure. Pour rappel, une SIEM permet de collecter et rassembler les événements et informations de sécurité afin de donner une visibilité sur les menaces et problèmes éventuels. Azure Sentinel propose des mécanismes d’Intelligence Artificielle (IA) qui permettent d’analyser et détecter les menaces rapidement. Azure Sentinel permet aussi un mécanisme d’investigation et de tracking des activités suspicieuses puis d’automatiser les tâches et les réponses aux menaces. Vous pouvez ajouter des solutions intégrées de collecte d'informations provenant dans Office 365, Azure AD, F5, Azure Information Protection, Cisco, Azure ATP, Amazon Web Services; etc.

Accéder au :

• Wiki GitHub Azure Sentinel
• Ressources Azure Sentinel sur GitHub

Quand on touche aux performances et aux stratégies de groupe (GPO), on s’attaque à un sujet délicat qui fait de longs débats dans les entreprises ! Combien d’entreprises ont initié des études/audits suite à des temps d’ouverture de session utilisateur trop long ? C’est une question que l’on m’a reposé récemment chez un client et je me permets de déterrer un très bon billet de Graeme Bray (PFE Microsoft) qui apporte des éléments de réponse factuels sur une optimisation parfois mis en avant : Est-ce que désactiver les sections Utilisateurs/Ordinateur d’une stratégie spécifique rend le traitement plus rapide ? En gros, est-ce plus intéressant de créer des GPOs spécifiques aux paramètres machines et d’autres spécifiques aux paramètres utilisateurs d’un point de vue performances ! Ceci n’empêche pas que certaines entreprises vont préférer cette organisation d’un point de vue utilisation.

Pour ceux qui ne souhaitent pas passer 5 à 10 minutes à trouver les éléments intéressants de son étude, je peux déjà vous répondre que la séparation des paramétrages Utilisateurs et Ordinateurs n’ont quasiment pas d’impact sur les performances de traitement.

Pour plus d’informations, je vous invite à lire son billet : Does Disabling User/Computer GPO Settings Make Processing Quicker?