Jean-Sébastien DUCHENE Blog's

Actualité, Tips, Articles sur l'ensemble des Technologies Microsoft (SCCM/SMS, EMS, Microsoft Intune, Microsoft Azure, Windows 10, SCOM, MDOP...)
    • 4/9/2019

    [Azure AD] Une série de webcasts et Ask Me Anything sur Azure Active Directory

    Microsoft propose une série de webcasts sur Azure Active Directory :

    • 5 septembre : Getting started with hybrid identity
    • 12 septembre: Integrating your applications with Azure Active Directory
    • 19 septembre: Take your apps to the next level with provisioning
    • 3 octobre : Upgrade your security with multi-factor authentication
    • 10 octobre : Starting your journey to Zero Trust with Conditional Access & Identity Protection
    • 17 octobre : Empower your users with better IT scalability

    Les webinars suivants, auront lieu en Mars et Avril 2020.

    En outre, on retrouve plusieurs dates avec les équipes d’ingénieurs Microsoft où ils répondront aux questions (Ask Me Anything) :

    • 26 Septembre
    • 24 Octobre
    • 14 Novembre
    • 5 Décembre
    • 9 Janvier
    • 6 Février
    • 26 Mars
    • 23 Avril
    • 7 Mai
    • 4 Juin

    S’enregistrer à l’un des webcasts

    • 4/9/2019

    [SCCM/WSUS] Déployer des mises à jour cumulatives pour Windows 10 1903 ou ultérieur

    Le message a largement été donné mais je me permets de le rediffuser puisque l’on commence à voir certains messages de désespoir sur les forums. Avec l’arrivée de Windows 10 1903, Microsoft prépare l’introduction des mises à jour Unified Update Platform (UUP). Pour ce faire et pour éviter d’impacter les versions précédentes, Microsoft a créé des catégories de produit dédiées qui doivent être activées :

    • Windows 10, version 1903 and later
    • Windows Server, version 1903 and later

    Cette opération doit être faite soit sur WSUS (si vous l’utilisez en mode autonome), soit sur System Center Configuration Manager

    Vous devez utiliser à minima System Center Configuration Manager 1902.
    Depuis System Center Configuration Manager 1906, le produit effectue les actions automatiquement :

    • La configuration des produits est opérée automatiquement si vous aviez déjà la catégorie Windows 10.

    • ConfigMgr ajoute aussi automatiquement les produits aux règles de déploiement automatiques (ADR) qui avaient la catégorie Windows 10.
    • ConfigMgr ajoute aussi automatiquement les produits aux plans de maintenance (Servicing Plans) qui avaient la catégorie Windows 10

     

    Source : https://techcommunity.microsoft.com/t5/Windows-IT-Pro-Blog/Updating-Windows-10-version-1903-using-Configuration-Manager-or/ba-p/639100  

    • 4/9/2019

    [Azure] Les annonces au 31 Août 2019

    Voici le récapitulatif des annonces faites par Microsoft concernant sa plateforme Microsoft Azure.

    Parmi les annonces, on retrouve notamment :

    General

    • Extension de 8 nouvelles régions pour Azure VMware Solutions. En outre, Microsoft annonce l’extension de certaines capacités avec des options de stockage pour s’intégrer avec Azure NetApp Files.
    • Plusieurs mois après l’annonce de l’ouverture, Microsoft vient de confirmer la disponibilité des régions Suisse dans Microsoft Azure. Outre les services relatifs à Azure qui vont s’ouvrir petit à petit, Office 365 et Dynamics 365 vont pouvoir prochainement être hébergés sur ces régions. Les clients existants vont aussi pouvoir obtenir une procédure de migration vers ces régions (comme cela a été le cas pour la France). C’est une très bonne nouvelle pour le marché Suisse où les contraintes de régulation ainsi que les us et coutumes des entreprises requièrent un hébergement des données sur le territoire. On retrouve deux régions Switzerland West et Switzerland North.
    • Mise à jour d’Azure Cost Management pour inclure :
      • La création de budgets cibles avec des filtres et des prévisions de coût
      • Dans Azure Cost Management Labs, on retrouve la capacité de sauvegarder et partager des vues personnalisées, de télécharger des tableaux comme des images, et le support du mode sombre (Dark Mode) dans l’analyse de coût.
      • Vous avez plus de flexibilité pour créer et gérer jusqu’à 200 abonnements par Enterprise Agreement

    Azure Active Directory

    Azure Computer

    Azure Network

    • Microsoft annonce 31 nouveaux sites de proximité Azure (Azure edge sites). Ceci amène à 150 sites sur plus de 50 pays. Cette annonce comprend aussi l’ajout de 14 nouveaux sites de recnotnre pour Azure ExpressRoute. Ces sites de proximité permettant d’optimiser l’accès aux applications via Azure Front Door, améliorer l’expérience avec une bande passante à haut débit pour l’accès à Azure Blob Storage, aux web applications et aux flux de vidéos à la demande.

    Azure Security Center

    Azure MarketPlace

     

    Autres services

     

    • 3/9/2019

    [Intune] Les nouveautés de fin août 2019

    Microsoft vient d’annoncer la mise à disposition d’un nouvel ensemble de fonctionnalités pour Microsoft Intune.

    Les fonctionnalités suivantes sont ajoutées :

    Configuration du périphérique

    • [Windows 10] Vous pouvez maintenant créer des modèles d’administration pour configurer les paramètres de stratégies qui s’appliquent à Microsoft Edge (Chromium) v77 ou plus.

     

    Plus d’informations sur : https://docs.microsoft.com/en-us/intune/whats-new

    • 2/9/2019

    [SCM] La baseline Office 365 ProPlus (1907) disponibles en bêta

    Microsoft vient d’annoncer la bêta de la baseline de paramétrages de sécurité (v1907) pour Office 365 ProPlus. Ces dernières s’utilisent avec Security Compliance Manager (SCM), par GPO, ou via le nouveau service Office Cloud Policy. Les lignes de base permettent de vérifier la conformité d’une application vis-à-vis des bonnes pratiques et recommandations Microsoft. Les paramètres recommandés correspondent aux modèles d’administration publiés (Version 4888) en Juillet 2019. Microsoft a fait une revue de tous les paramétrages proposés pour ne se concentrer que sur ce qui a une valeur pour ces nouvelles versions d’Office.

    Parmi les changements mis en avant, on retrouve :

    • La catégorisation des GPOs par composants pour que les réglages "difficiles" puissent être ajoutés ou supprimés unitairement.
    • Blocage complet des formats de fichiers hérités
    • Blocage de l'utilisation de Dynamic Data Exchange (DDE) par Excel
    • L'option "Block macros from running in Office files from the Internet" est désormais prise en charge pour Access.
    • Implémentation de nouveaux paramètres pour bloquer l'ouverture de certains fichiers non fiables et en ouvrir d'autres en mode Protégé.
    • Activation du nouveau réglage "Macro Runtime Scan Scope".

     

    Plus d’informations sur : https://techcommunity.microsoft.com/t5/Microsoft-Security-Baselines/Security-baseline-for-Office-365-ProPlus-v1907-July-2019-DRAFT/ba-p/771308

    Téléchargez Security baseline for Office 365 ProPlus July 2019 – DRAFT

    • 2/9/2019

    [Azure AD] Les nouveautés d’Azure Active Directory en Août 2019

    Microsoft a introduit un ensemble de nouveautés dans Azure Active Directory en Août 2019.

    Microsoft apporte les nouveautés suivantes :

    • Public Preview de nouveaux journaux de provisionnement pour vous aider à surveiller et dépanner le déploiement du provisionnement des utilisateurs et des groupes. Ces nouveaux fichiers journaux contiennent des informations sur les fichiers :
    • Disponibilité Générale des nouveaux rapports de sécurité pour les administrateurs Azure AD. Ceci inclut les fonctionnalités suivantes :
      • Filtrage et tri avancés
      • Actions en masse, telles que l’annulation du risque utilisateur
      • La confirmation d'entités compromises ou sûres
      • L’état de risque couvrant : At risk, Dismissed, Remediated, et Confirmed compromised
      • Nouvelles détections liées aux risques

     

    On retrouve les modifications de service suivantes :

    • Dépréciation des packs de contenu Power BI. Ceci concerne aussi le pack de contenu Power BI Azure AD. Microsoft recommande l’utilisation du Workbooks Azure AD. D’autres Workbooks sont prévus notamment pour l’accès conditionnel, les éléments basés sur le consentement des applications, etc.
    • Correction : A partir de la version 5.0.0.0-preview de la bibliothèque d'authentification AD d'Azure (ADAL.NET), les développeurs d'applications doivent sérialiser un cache par compte pour les applications Web et les API Web. Dans le cas contraire, certains scénarios utilisant le flux à la source, ainsi que certains cas d'utilisation spécifiques de UserAssertion, peuvent entraîner une augmentation du privilège. Pour éviter cette vulnérabilité, ADAL.NET ignore maintenant la bibliothèque d'authentification Microsoft pour le cache partagé dotnet (MSAL.NET) pour les scénarios on behalf of.
    • Amélioration de l’interface de construction des règles de groupes dynamique dans le portail Azure AD. Cette amélioration du design vous permet de créer des règles avec jusqu'à cinq expressions au lieu d'une seule.
    • Microsoft a introduit une nouvelle permission pour les applications Microsoft Graph, AccessReview.ReadWrite.Membership, qui permet aux applications de créer et de récupérer automatiquement les commentaires d'accès pour les adhésions de groupe et les affectations d'applications.
    • Le 25 septembre 2019, Microsoft désactivera l'ancienne expérience d'informations de sécurité non améliorées pour l'enregistrement et la gestion des informations de sécurité des utilisateurs et Microsoft activera uniquement la nouvelle version améliorée. Cela signifie que les utilisateurs ne pourront plus utiliser l'ancienne expérience.
    • À compter du 2 septembre 2019, les demandes d'authentification utilisant la méthode POST seront validées plus strictement selon les normes HTTP. Plus précisément, les espaces et les guillemets doubles (") ne seront plus supprimés des valeurs des formulaires de demande. Ces changements ne devraient pas briser les clients existants et permettront de s'assurer que les demandes envoyées à Azure AD sont traitées de façon fiable à chaque fois.

     

    Plus d’informations sur : What’s new Azure AD

    • 1/9/2019

    [SCCM] La Technical Preview 1908.2 de System Center Configuration Manager est disponible

    Microsoft vient de mettre à disposition la Technical Preview 1908.2 (5.0.8871.1000) de System Center Configuration Manager. Pour rappel, ConfigMgr a subi une refonte de sa structure pour permettre des mises à jour aisées de la même façon que l’on peut le voir avec Windows 10. Si vous souhaitez installer cette Technical Preview, vous devez installer la Technical Preview 1804 puis utiliser la fonctionnalité Updates and Servicing (nom de code Easy Setup).

    System Center Configuration Manager TP 1908.2 comprend les nouveautés suivantes :

    Administration

    • Dans le nœud Console Connections de la console d’administration :
      • L’administrateur a la capacité d’envoyer un message à d’autres administrateurs via Microsoft Teams.
      • La colonne Last Console Heartbeat a remplacé Last Console Time. La colonne Last Console Heartbeat donne aux administrateurs plus d'informations pour déterminer quelles connexions de console sont actuellement actives. Lorsqu'une console ConfigMgr est ouverte, une vérification est effectuée toutes les 10 minutes. Si la console s'exécute au premier plan pendant la vérification, la colonne Last Console Heartbeat est mise à jour.

     

     Inventaires

    • Optimisation du moteur CMPivot pour pousser plus de traitement au client ConfigMgr. Ces optimisations réduisent considérablement la charge réseau et CPU du serveur qui exécute les requêtes CMPivot

     

    Déploiement de système d’exploitation

    • Vous pouvez maintenant activer le multicast sur un point de distribution sans avoir à activer Windows Deployment Services (WDS). Parce que le service WDS n’est pas requis, vous pouvez activer le multicast sur un système client ou serveur mais aussi Windows Server Core.
    • Basé sur des feedbacks UserVoice, il est maintenant possible de configurer la langue par défaut du clavier du système d’exploitation via la tâche Apply Windows Settings et le paramètre Set default keyboard layout in Windows.

     

    Plus d’informations sur : https://docs.microsoft.com/en-us/sccm/core/get-started/2019/technical-preview-1908.2

    • 1/9/2019

    [SCCM 1906] Résumé des changements de Configuration Manager 1906

    Microsoft a publié la liste des changements importants apportés par System Center Configuration Manager 1906. La liste est non exhaustive. On retrouve :

    Client

    • Après avoir supprimé les Application Catalog d'un site, les clients peuvent continuellement demander une stratégie inexistante au Management Point. Cela se produit parce que la stratégie du Web Service associé n'est pas correctement marquée pour suppression sur le client.
    • Les jobs DataTransferService peuvent échouer si l'ordinateur client redémarre alors que le job est toujours en cours d'exécution. Cela se produit en raison d'un problème de synchronisation pendant l'arrêt de l'ordinateur qui entraîne le retour d'un statut incorrect pour un job de BITS.
    • Un client peut devenir non géré s'il dispose d'un certificat de profil wi-fi et s'il est installé à l'aide de la Cloud Management Gateway.
    • Après avoir effectué une mise à niveau du système d'exploitation de Windows Server 2012 R2 vers Windows Server 2016, la tâche programmée Configuration Manager Health Evaluation ne fonctionne plus. Les résultats de la vérification du client sont signalés comme ayant échoué et les tentatives d'exécution de la tâche à partir du Planificateur de tâches entraînent l'erreur suivante
      An error has occurred for task Configuration Manager Health Evaluation. Error message: A task or folder with this name already exists.
    • Les clients sont incapables de télécharger du contenu ou des stratégies après des échecs de téléchargement historiques répétés. Les travaux du Data Transfer Service (DTS) sont suspendus mais le redémarrage du service SMS Agent Host (ccmexec) fait reprendre les téléchargements. Lorsque le client est dans cet état, les erreurs ressemblant à ce qui suit sont enregistrées dans le fichier DataTransferService.log
      DTS job {guid} BITS job {guid 2} failed to download source file {filename}.exe to destination {client cache filename} with error 0x80072EE7
    • Les utilisateurs ne peuvent pas effectuer de recherche dans le Software Center lorsque le système d'exploitation client est configuré avec la langue locale et le calendrier japonais.
    • Les déploiements utilisateurs ne sont pas visibles dans le Software Center lorsque le client communique avec un Management Point qui utilise une base de données réplica.
    • Une session de contrôle à distance vers un client Configuration Manager échouera quelques secondes après la connexion. Cela se produit si l'adaptateur tunnel Teredo est activé sur le client.

    Distribution logiciels et gestion du contenu

    • Le contenu du package n'est pas distribué à des points de distribution aléatoires sur des sites secondaires si un autre site dans la hiérarchie est en mode inactif. Par exemple, si un site secondaire est en mode Mise à niveau, les points de distribution d'un autre site secondaire homologue peuvent ne pas recevoir le contenu du package du site parent. Le fichier distmgr.log du site source contient l'entrée suivante.
      ~Package server is not an active site, ignore it.
    • Une application ne s'installe pas comme prévu lorsqu'elle est démarrée manuellement par un utilisateur et les paramètres suivants sont utilisés pour le type de déploiement :
      • User Experience: Install for System
      • Logon requirement: Only when no user is logged on
      • Installation program visibility” Hidden

    Reporting

    • Les rapports suivants peuvent prendre beaucoup plus de temps (heures) à s’exécuter que prévu en raison d'une inefficacité d'une fonction SQL associée
      • Software Distribution Content / All Active Content Distribution
      • Software Distribution - Content / Application Content Distribution.

    Systèmes de site

    • Le fichier SMSDPProv.log contient de fausses erreurs lorsque le mode Enhanced HTTP n'est pas activé. Dans ce scénario, l'erreur "Failed to verify if the cert is sccm issued, 0x800b0109" n'indique pas un état problématique et peut être ignorée.
    • La liste des SMS Providers n'est pas cohérente après la promotion d'un serveur de site passif à actif. Le processus de basculement réussit, mais les Providers distants ne sont pas répertoriés dans WMI ou dans le Registre sur le serveur du site récemment promu.
    • Lorsque des paramètres client personnalisés sont utilisés, les modifications apportées aux paramètres d'affinité périphérique utilisateur (UDA) ne sont pas appliquées à moins que le paramètre "User device affinity usage threshold (minutes)" ne soit également modifié.
    • Le service SMS Executive (smsexec.exe) peut se terminer de manière inattendue lors de la distribution simultanée de plusieurs gros packages (plusieurs gigaoctets) vers Pull Distribution Point.

     

    Le déploiement de système d’exploitation

    • Le type de valeur de registre REG_DWORD n'est pas correctement reconnu lors de l'évaluation des conditions de séquence de tâches. Par exemple, les données d'une valeur REG_DWORD sont signalées comme inexistantes lorsqu'elles sont évaluées au cours d'une séquence de tâches d'installation d'application.
    • Le fichier smspxe.log contient des données externes sur les messages DHCPINFORM. Ceci écrase les données de dépannage utiles dans le fichier de journalisation.
    • Les variables de séquence de tâches peuvent maintenant être sélectionnées pour l'édition à l'aide de la touche Tab du clavier.
    • La tâche Run PowerShell Script d'une séquence de tâches ne reconnaît pas le code de retour 3010 comme un code de succès.

    Console d’administration

    • La console Configuration Manager peut crasher avec une exception non gérée lorsque vous utilisez une console non anglophone pour modifier les seuils de base de données du Site System Status Summarizer.
    • Le nœud Office 365 Client Management de la console peut générer une exception lorsque vous essayez d'ajouter des éléments à une nouvelle collection de périphériques. Le texte d'exception ressemblant à ce qui suit s'affiche :
      Microsoft.ConfigurationManagement.ManagementProvider.WqlQueryEngine.WqlQueryException​
      Not found , property = ResourceType​
    • La colonne Bulletin ID est remplacée par Article ID sur les vues de mise à jour logicielle par défaut dans la console Configuration Manager.
    •  Le tableau de bord de Management Insights peut indiquer à tort que les versions de Windows 10 Long Term Servicing Branch (LTSB) ou Long Term Servicing Channel (LTSC) ne sont pas supportée.
    • La console Configuration Manager peut crasher de manière inattendue lorsqu'il y a des dossiers imbriqués dans le nœud Packages. Cela se produit lors de la sélection du dossier de niveau supérieur après la recherche de données, telles qu'un package de déploiement, dans le dossier de niveau inférieur. Une exception ressemblant à ce qui suit s'affiche à l'écran.
      System.NullReferenceException: Object reference not set to an instance of an object. at Microsoft.ConfigurationManagement.ManagementProvider.WqlQueryEngine.WqlResultObjectBase.get_Item(String name)

    Gestion des mises à jour logicielles

    • Le processus de synchronisation des mises à jour logicielles prend plus de temps que prévu si l'option Include Microsoft Surface drivers and firmware updatesest activée.
    • Le téléchargement du contenu de la mise à jour du logiciel peut échouer en raison d'une erreur de hash mismatch. Cela se produit si BranchCache est activé sur le serveur du site et que le contenu de plusieurs paquets de mise à jour a été téléchargé vers un Cloud Distribution Point. Les erreurs ressemblant à ce qui suit sont enregistrées dans le fichier ContentTransferManger.log du client.
      CCTMJob::_ProcessContentInfo – failed to verify hash (….
      CCTMJob:_ProcessContentInfo failed. (0x87d00217)
    • Les déploiements échelonnés (Phased Deployment) des mises à jour logicielles échoueront si l'option Supprimer le redémarrage est activée pour les systèmes d'exploitation des postes de travail et des serveurs. Une erreur ressemblant à ce qui suit est enregistrée dans le fichier sms_PhasedDeployment.log
      Exception: System.Data.SqlClient.SqlException (0x80131904): Parameter ‘@SuppressReboot’ was supplied multiple times.
    • Les administrateurs ne peuvent pas déplacer les mises à jour d'un groupe de mise à jour logicielle à un autre si ces mises à jour ne sont pas téléchargées directement, mais plutôt distribuées via BranchCache.
    • La synchronisation des Software Update Points dans les grands environnements peut prendre beaucoup plus de temps que prévu en raison de l'inefficacité des vues SQL et des index utilisés pendant le processus.
    • Une règle de déploiement automatique (ADR) pour un package de mise à jour peut échouer si la synchronisation des mises à jour logicielles supprime le contenu expiré du même package.
    •  

     PowerShell

    • La cmdlet Invoke-CMClientAction ne réveille pas les clients comme prévu lorsque le paramètre -ActionType ClientNotificationWakeUpClientNow est utilisé.
    • La cmdlet New-CMSchedule et New-CMSoftwareUpdateAutoDeploymentRules supporte maintenant correctement les horaires avec un décalage par rapport à un jour de base.
    • La cmdlet New-CMPackageDeployment renvoie "Could not find property PackageID" lorsqu'une valeur pour un ID de package est passée en paramètre.
    • La cmdlet New-CMRequirementRuleRuleCommonValue ajoute incorrectement des espaces vides à la fin de sa valeur, ce qui entraîne l'échec inattendu des évaluations des règles.
    • La cmdlet Import-CMDriver renvoie " Object reference not set to an instance of the object " lorsque le paramètre DriverPackage est utilisé.

     

    En outre, le correctif cumulatif suivant est inclus : KB4500571: Update rollup for System Center Configuration Manager current branch, version 1902

     

    Plus d’informations sur la KB4514258 Summary of changes in System Center Configuration Manager current branch, version 1906

    • 1/9/2019

    [SCCM] Preview Juin 2019 de System Center Updates Publisher

    En juin dernier j'étais passé à côté de l'annonce, Microsoft a publié une nouvelle Preview Juin 2019 (6.0.382.0) de son outil System Center Updates Publisher. Ce dernier permet d’intégrer des catalogues de mises à jour tierces voir de créer vos propres catalogues et mises à jour. SCUP

    Cette Preview apporte les améliorations suivantes :

    • Un nouveau mode Authoring est ajouté permettant au créateur de mise à jour d’organiser les mises à jour qui sont liées.
    • Yun nouveau bouton Detectoid est ajouté au workspace Updates quand le mode Authoring est activé. Cette fonction est utile lorsque vous avez plusieurs mises à jour qui utilisent la même règle (ou un ensemble de règles) pour déterminer l'applicabilité.

    Cette version est compatible :

    • Windows 10, Windows 8.1, Windows Server 2012 R2, Windows Server 2016, Windows Server 2019
    • System Center 2012 Configuration Manager Service Pack 2
    • System Center 2012 R2 Configuration Manager Service Pack 1
    • Une version supportée de System Center Configuration Manager current branch, System Center Configuration Manager long-term servicing branch version 1606

     

    Télécharger System Center Updates Publisher Preview

    • 31/8/2019

    [Windows 10 1903] Bug avec Windows SIM dans l’ADK impactant Microsoft Deployment Toolkit (MDT)

    Avec la sortie de Windows 10 1903, Microsoft a publié l’Assessement and Deployment Kit (ADK) offrant une boite à outils pour le déploiement de Windows 10. On y retrouve notamment Windows System Image Manager (SIM) permettant de manipuler des images. L’ADK Windows 10 1903 intègre par défaut une version buguée de Windows SIM pouvant impacter notamment Microsoft Deployment Toolkit ou lors que vous modifiez des images sur une version 64-bits de Windows.

    Pour ce faire, vous devez télécharger et appliquer la mise à jour de Windows System Image Manager (SIM) 1903.

    Une version remise à jour de l’ADK doit être publiée pour intégrer les composants (DLL) que Microsoft Deployment Toolkit utilise.

     

    Source : https://docs.microsoft.com/en-us/windows-hardware/get-started/what-s-new-in-kits-and-tools

    • 31/8/2019

    Publication du Cumulative Update 16 pour SQL Server 2017

    Microsoft a publié le Cumulative Update 16 (14.0.3223.3) de SQL Server 2017. Ce Cumulative Update comprend plusieurs correctifs.

    Plus d’informations sur : https://support.microsoft.com/en-us/help/4508218/cumulative-update-16-for-sql-server-2017

    Télécharger SQL Server® 2017 for Microsoft® Windows Latest Cumulative Update

    • 31/8/2019

    La stratégie de Microsoft pour retirer Flash de ses navigateurs

    En 2017, Microsoft annonçait sa volonté de retirer flash de ses navigateurs. Avec la sortie prochaine de Microsoft Edge (Chromium), c’est l’occasion de rappeler la stratégie qui consiste à retirer Flash d’ici décembre 2020.

    Microsoft Edge (Chromium) suivra les mêmes échéances que les autres navigateurs. Flash sera donc présent mais désactivé et l’utilisateur aura à l’activé sur caque site. Microsoft prévoit le retrait d’ici fin 2020.

    Pour les entreprises, des stratégies de groupe sont disponibles pour déterminer le comportement de blocage de Flash.

    Plus d’informations sur : Update on removing Flash from Microsoft Edge and Internet Explorer

    • 30/8/2019

    [Windows] L’exécution VBScript ne fonctionne plus dans Internet Explorer 11

    Certains utilisateurs ou entreprises remontent que certains sites en fonctionnent plus totalement sur Internet Explorer 11. Cela avait été annoncé il y a quelques temps mais le changement est effectif depuis quelques jours, Microsoft a désactivé l’exécution VBScript par défaut pour les zones Internet ou et non sécurisées pour toutes les plateformes. Le changement a été effectif sur Windows 10 depuis la mise à jour cumulative publiée le 9 juillet 2019 et sur Windows 7, 8 et 8.1 avec la mise à jour cumulative publiée le 13 août 2019.

    Il est à noter qu’il est toujours possible d’activer ou désactiver l’exécution VBScript par site au niveau des zones via le registre ou les stratégies de groupe.

    • 30/8/2019

    Microsoft nommé leader du Magic Quadrant 2019 sur l’Access Management

    Gartner a publié le résultat de l’étude 2019 sur l’Access Management. Microsoft est toujours leader avec Okta. Ping Identity fait une petite avancée dans les leaders.

    Parmi les forces :

    • Microsoft a obtenu l'un des scores les plus élevés en matière de compréhension du marché et d'expérience client.
    • Microsoft a été leader de l'innovation sur le marché dans plusieurs domaines, notamment en ce qui concerne l'élimination des mots de passe et la décentralisation de l'identité.
    • Microsoft inclut des fonctionnalités AM de base ainsi que des fonctions d'accès conditionnel et d’authentification à facteurs multiples (MFA) pour tous les clients d'Office 365 avec Azure AD.
    • De nombreuses organisations ont dû composer avec l'impact des fusions, acquisitions et désinvestissements sur la gestion des identités sur les tenants Microsoft. Microsoft tire parti d'une offre de " fusion et acquisition en tant que service " utilisant les solutions Azure AD Sync pour un segment croissant de la clientèle d'entreprises. Ce service comprend tout ce qui est nécessaire pour répondre aux scénarios de fusion et d'acquisition, sans coûts de migration ni contrats à long terme coûteux.

    Parmi les faiblesses :

    • Alors que de nombreux concurrents ont ajouté des proxies et d'autres fonctionnalités pour l'activation d'applications non standard, Microsoft a toujours besoin de partenariats avec des tiers comme Ping Identity pour l'authentification basée sur les en-têtes HTTP et d'autres scénarios d'applications non standard.
    • Microsoft continue d'accroître rapidement la part de marché d'Azure AD Premium en raison du fait qu'il s'agit d'une exigence pour Office 365. Cependant, de nombreux clients choisissent d'acheter une plate-forme AM distincte en raison des lacunes dans les fonctionnalités de prise en charge des applications non standard. Les applications non standard prises en charge par le proxy Microsoft Application sont limitées à l'authentification Windows intégrée et à la délégation restreinte Kerberos.
    • Les licences Microsoft sont extrêmement complexes, et parce que les fonctionnalités sont regroupées par couches, les clients qui souhaitent une ou deux fonctionnalités du niveau de licence supérieur sont obligés d'acheter des licences qu'ils n'utilisent peut-être pas pleinement.
    • Les cas d'utilisation de Microsoft B2B et B2C sont encore relativement immatures.

    Vous pouvez accéder au rapport sur : https://aka.ms/GartnerAMMQ2019

    Source : https://techcommunity.microsoft.com/t5/Azure-Active-Directory-Identity/Microsoft-once-again-a-leader-in-the-Gartner-MQ-for-Access/ba-p/566365

    • 29/8/2019

    Publication de la version d’Août 2019 d’Azure Data Studio

    Microsoft publie une nouvelle version (Août 2019) d’Azure Data Studio, précédemment connu sous le nom SQL Operations Studio. Azure Data Studio offre une expérience d'éditeur moderne avec IntelliSense, des extraits de code, l'intégration du contrôle des sources et un terminal intégré.

    Les utilisateurs passent de plus en plus de temps à travailler sur l'édition des requêtes que sur toute autre tâche avec SQL Server Management Studio. Pour cette raison, Azure Data Studio a été conçu pour se concentrer en profondeur sur les fonctionnalités les plus utilisées, avec des expériences supplémentaires disponibles comme des extensions optionnelles. Cela permet à chaque utilisateur de personnaliser son environnement comme il utilise le plus souvent.

    Cette version intègre les changements suivants :

    • Intégration avec SandDance (de Microsoft Research) afin d’obtenir des éléments plus visuels pour manipuler les données
    • Améliorations des Notebooks SQL avec la capacité de cliquer droit sur la grille de résultat et la sauvegarder en CSV ou JSON. Améliorations des performances lors du chargement de JSON.
    • L’extension SQL Server Dacpac supporte Azure Active Directory
    • Mise à jour avec Visual Studio Code 1.37
    • Corrections de bugs

     

    Quand utiliser Azure Data Studio ?

    • Vous devez utiliser macOS ou Linux
    • Vous devez vous connecter sur un cluster big data SQL Server 2019
    • Vous passez plus de temps à éditer ou exécuter des requêtes
    • Vous voulez de visualiser rapidement des graphiques et de visualiser des ensembles de résultats
    • Vous avez un besoin minimal d’assistants
    • Vous n'avez pas besoin de faire de configuration administrative profonde

    Quand utiliser SQL Server Management Studio ?

    • Vous passez la plupart de votre temps à des tâches d'administration de bases de données.
    • Vous avez besoin de faire une configuration administrative importante
    • Vous effectuez la gestion de la sécurité, y compris la gestion des utilisateurs, l'évaluation des vulnérabilités et la configuration des éléments de sécurité.
    • Vous utilisez les rapports pour SQL Server Query Store
    • Vous devez faire des optimisations de la performance et utiliser des tableaux de bord
    • Vous avez besoin d'accéder aux serveurs enregistrés et de contrôler les services SQL Server sous Windows

    Plus d’informations: https://cloudblogs.microsoft.com/sqlserver/2019/08/15/the-august-release-of-azure-data-studio-is-now-available/

    Pour rappel, ces outils sont disponibles depuis Windows, macOS, et Linux pour permettre de gérer SQL Server, Azure SQL Managed Instance, Azure SQL Database, Azure SQL Data Warehouse, et SQL Server 2019 Big Data Clusters.

    Télécharger Azure Data Studio

    • 29/8/2019

    [Azure] Les régions Suisse disponibles dans Microsoft Azure !

    Plusieurs mois après l’annonce de l’ouverture, Microsoft vient de confirmer la disponibilité des régions Suisse dans Microsoft Azure. Outre les services relatifs à Azure qui vont s’ouvrir petit à petit, Office 365 et Dynamics 365 vont pouvoir prochainement être hébergés sur ces régions. Les clients existants vont aussi pouvoir obtenir une procédure de migration vers ces régions (comme cela a été le cas pour la France). C’est une très bonne nouvelle pour le marché Suisse où les contraintes de régulation ainsi que les us et coutumes des entreprises requièrent un hébergement des données sur le territoire.

    On retrouve donc des datacenters dans deux régions :

    • Switzerland West dans la région de Genève
    • Switzerland North dans la région de Lausanne

     

    Source : https://azure.microsoft.com/en-us/blog/microsoft-azure-available-from-new-cloud-regions-in-switzerland/

    • 28/8/2019

    [Office] Mise à jour du kit d’évaluation des composants additionnels et des macros (VBA) pour Office (Office Readiness Toolkit)

    En juillet dernier, Microsoft a mis à jour Office Readiness Toolkit en version 1.2.19184. Cet outil est conçu pour aider les entreprises à identifier les documents qui contiennent des macros VBA, à évaluer la compatibilité de ces macros avec Office 365 ProPlus et à fournir des informations de préparation pour les composants additionnels d’Office.

    L'outil n’a pas pour vocation de réparer ces éléments. Il analyse les documents Office et fournit un rapport détaillant leur compatibilité et leur état de préparation au passage à un environnement Office 365 ProPlus.

    Cet outil vérifie la compatibilité avec Office 365 ProPlus pour le code écrit pour Word, Excel, PowerPoint, Access, Project, Publisher, Outlook et Visio Pour Office 2003, 2007, 2010, et 2013 .

    Cette version 1.2.19184 supprime le prérequis d'installer Readiness Toolkit sur le périphérique cible pour exécuter l'analyse MRU.

    C’est notamment cet outil qui doit être déployé pour remonter les informations de compatibilité des macros et des composants additionnels par l’inventaire matériel dans la console System Center Configuration Manager. Pour rappel, cette fonctionnalité a été introduite avec la version 1902 pour aider les entreprises à déployer le client Office 365 ProPlus.

     

    Télécharger Readiness Toolkit for Office add-ins and VBA

    • 28/8/2019

    Microsoft nommé leader du Magic Quadrant 2019 sur l’Endpoint Protection Platforms (EPP)

    Gartner vient de publier le résultat de l’étude 2019 sur l’Endpoint Protection Platforms (EPP). Microsoft fait un bon en avant en étant le premier leader du marché. Cette progression incroyable est la réponse aux forts investissements faits par Microsoft sur le segment de la sécurité des périphériques. Microsoft est donc largement devant Sophos, TrendMicro, Symantec, et CrowdStrike.

    Preuve que ce secteur est stratégique, VMware a racheté Carbon Black pour intégrer les capacités dans ses solutions de gestion.

    Plusieurs éléments sont évalués : le durcissement, la détection des attaques avancées et des attaques sans fichiers, et les capacités de réponse, en favorisant les solutions fournies dans le Cloud qui fournissent une complémentarité de produits et de services.

    Parmi les forces :

    • Defender fournit une protection contre les logiciels malveillants à l'aide d'une gamme de techniques incluant l'analyse comportementale, l'émulation, l'analyse des scripts, l'analyse de la mémoire, la surveillance des signatures réseau et l'heuristique sur le client, ainsi que la protection depuis le Cloud pour détecter les logiciels malveillants plus récents. Microsoft Defender ATP peut travailler en collaboration avec les agents EPP ou EDR d'autres fournisseurs ou se chargera de protéger automatiquement les clients si un moteur EPP tiers tombe en panne, est obsolète ou est désactivé.
    • Microsoft Defender ATP combine des fonctionnalités EDR avancées avec la gestion et la surveillance d'Exploit Guard, Credential Guard, d'autres produits Microsoft, Active Directory, pour permettre une console d'alerte et de réponse aux incidents commune. ATP s'appuie sur Azure pour stocker six mois de données sans frais supplémentaires.
    • Microsoft dispose de l'une des meilleures capacités Security Orchestration, Automation and Response (SOAR) pour s'intégrer aux produits Microsoft et de ses partenaires et automatiser les tâches répétitives. Les règles d'accès conditionnel permettent une architecture d'évaluation adaptative continue du risque et de la confiance.
    • ATP ajoute la gestion des menaces et des vulnérabilités, la réduction des surfaces d'attaque (telles que l'isolation matérielle, le contrôle des applications, la protection du réseau et les règles de réduction des surfaces d'attaque) et les rapports contextuels d'analyse des menaces. Microsoft Secure Score et les informations de vulnérabilité et de configuration fournissent des recommandations pondérées et des actions pour améliorer le durcissement des machines, et comparent la situation actuelle avec celle de l’industrie et des autres entreprises pour le benchmarking. Cette note donne aux administrateurs et aux RSSI une excellente compréhension de la posture de sécurité globale par rapport aux autres entreprises et montre des améliorations au fil du temps.
    • Microsoft a récemment lancé un service appelé Microsoft Threat Experts pour aider les clients à réagir aux incidents et à analyser les alertes.

    Parmi les faiblesses :

    • Windows Defender Antivirus et Exploit Guard sont inclus avec toutes les versions de Windows 10. Cependant, la plupart des entreprises voudront qu’ATP leur offre une expérience concurrentielle dans les fonctions d’EDR, telles que la visibilité des attaques, le reporting et la threat hunting, ainsi que la gestion de la vulnérabilité. ATP nécessite une licence E5. Il est difficile de naviguer dans les licences Microsoft et certains clients rapportent que l'E5 est plus cher que les offres concurrentes EPP et EDR.
    • Bien qu’ATP soit disponible pour Windows 7 et 8, la solution de Microsoft n'offre pas une parité complète avec les fonctionnalités de sécurité de Windows 10. ATP n'est pas disponible pour Windows XP et les versions antérieures. Il en résultera différents niveaux de protection dans les organisations qui n'ont pas encore complètement migré vers Windows 10.
    • La gestion des paramètres de configuration de sécurité Microsoft dans les objets de stratégie de groupe peut être complexe, en particulier pour les équipes de sécurité qui n'utilisent pas System Center. La feuille de route de Microsoft comprend la consolidation de tous les objets de stratégie de sécurité dans le centre de sécurité d'ici la fin de l'année. Dans l'intervalle, les clients peuvent tirer parti des lignes de base Microsoft et des objets GPO prédéfinis que les clients déploient.

    Vous pouvez accéder au rapport sur : http://www.gartner.com/reprints/?id=1-1OCBC1P5&ct=190731&st=sb

    Source : https://www.microsoft.com/security/blog/2019/08/23/gartner-names-microsoft-a-leader-in-2019-endpoint-protection-platforms-magic-quadrant/

    • 27/8/2019

    [Intune] Correction d’un bug sur les groupes d’étendue

    Dans la version de septembre (1909), Microsoft va ajuster l’expérience des groupes d’étendue de Microsoft Intune afin que celle-ci soit alignée sur la documentation et ce que l’administrateur attend.
    Ceci vous concerne si vous utilisez Role Based Access Control (RBAC) pour gérer le service.

    Si vous attribuez des droits d'administrateur Intune pour gérer un groupe d’étendue spécifique, vous constaterez que l’administrateur ne peut pas créer une nouvelle stratégie ou application qui affecte d'autres groupes que leur groupe d’étendue. Cependant, en raison de ce bug, un administrateur avec des droits de groupe d’étendue spécifique pourra modifier ou supprimer une stratégie ou une application existante ciblée sur des groupes autres que leur groupe d’étendue tant qu'il pourra accéder à la stratégie ou à l'application.

    Après septembre, l'administrateur ne pourra modifier ou supprimer que la stratégie ou l'application appliquée à son groupe d’étendue.

     

    Pour rappel, voici des éléments sur RBAC dans Microsoft Intune

    • 27/8/2019

    Preview de Windows Admin Center 1908

    Microsoft vient de mettre à disposition la Preview en version 1908 de l’interface graphique permettant de gérer les infrastructure Windows Server : Windows Admin Center.

    Parmi les nouveautés, on retrouve notamment

    • Des petits changements visuels incluant de nouvelle page riche optimisant l’expérience
    • Packetmon permet de diagnostiquer un serveur en capturant et en affichant le trafic réseau de la pile réseau dans un journal qui peut être filtré et organisé. Ceci n’est supporté que sur 19H1 et 19H2. Microsoft va permettre le support de Windows Server 2019 dans une prochaine version.
    • FlowLog Audit est un nouvel outil pour le firewall SDN de Windows Server 2019. Ceci permet d’enregistrer tous les flux pour des règles firewall SDN dont la journalisation a été activée.
    • Security est un nouvel outil permettant de réaliser des actions en temps réel sur Windows Defender comme l’analyse rapide, la modification des analyses planifiées, la visualisation de l’historique ou l’édition des actions de remédiation.
    • WAC peut être utilisé pour enregistrer des Failovers Clusters et des clusters hyperconvergés sur Azure Monitor
    • Support de WinRM over HTTPS (port 5986) comme méthode de connexion pour gérer les nœuds.

     

    Parmi les problèmes connus, on retrouve :

    • Azure Monitor onboarding - Si vous gérez un serveur ou un cluster en utilisant des identifiants "manage as", l'intégration peut échouer.
    • Réseau - Si vous avez configuré un adaptateur réseau Azure, la valeur sous Microsoft Azure Virtual Network Gateway Address sera formatée comme un hyperlien mais conduira à une adresse invalide. [20420185].
    • Les utilisateurs de Chrome peuvent voir la réponse 403 Forbidden après la mise à niveau. La solution consiste à fermer tous les onglets chrome ouverts (assurez-vous qu'aucun processus chrome.exe n'est en cours d'exécution). Après le redémarrage du chrome, tout fonctionnera normalement. Microsoft a un message d'erreur qui l'indique clairement, mais les utilisateurs de chrome avec plusieurs onglets Windows Admin Center ouverts pendant la mise à niveau ne verront pas le message.

     Télécharger Windows Admin Center Preview

    • 26/8/2019

    [WVD] Microsoft répond le 28 Août à vos questions sur Windows Virtual Desktop

    Microsoft propose un événement de questions/réponses sur Windows Virtual Desktop. Cet évènement aura lieu aujourd’hui le 28 août à partir de 18h (heure française). Ask Microsoft Anything est une belle opportunité pour poser des questions sur Windows Virtual Desktop avec une réponse directe.

     Vous devez être membre de Tech Community pour poster vos questions via l’adresse : https://techcommunity.microsoft.com/t5/Windows-10-AMA/bd-p/Windows10AMA

    Source : https://techcommunity.microsoft.com/t5/Windows-IT-Pro-Blog/Save-the-date-Windows-Virtual-Desktop-Technical-AMA-on-August/ba-p/809860

    • 26/8/2019

    [AIP] Publication de la version 1.53.10.0 du client Azure Information Protection classic sur Windows Update

    Quelques semaines après sa disponibilité générale, Microsoft vient de mettre à disposition la version 1.53.10.0 du client Azure Information Protection (classic) sur Windows Update.

    Pour rappel, cette version apporte les nouveautés suivantes :

    • Nouveau paramètre client avancé pour exempter les messages Outlook des paramètres de stratégie Tous les documents et courriels doivent avoir un label.
    • Nouveau paramètre client avancé pour personnaliser davantage les paramètres qui implémentent des messages contextuels dans Outlook qui avertissent, justifient ou bloquent les e-mails envoyés. Avec ce nouveau paramètre avancé, vous pouvez définir une action différente pour les messages électroniques sans pièces jointes.
    • Correctif : Lorsque vous utilisez l'Explorateur de fichiers, cliquez avec le bouton droit de la souris pour labeliser un fichier dont la protection est appliquée indépendamment d'un label, cette protection est préservée. Par exemple, si un utilisateur a appliqué des permissions personnalisées à un fichier.
    • Correctif : Lorsque vous remplacez l'option Ne pas transférer/Do not forward d'un fil de discussion par un label configure pour les permissions définies par l'utilisateur et Ne pas transférer, les destinataires originaux peuvent toujours ouvrir le message.
    • Correctif : Dans le scénario suivant, un utilisateur ne voit plus dans l'infobulle du label que le label a été automatiquement définie par lui : Un utilisateur reçoit un courriel protégé avec un document joint qui n'est pas labelisé, mais automatiquement protégé. Lorsque l'utilisateur de la même entreprise que l'expéditeur ouvre le document, le label correspondant pour les paramètres de protection est appliqué au document.
    • Le droit d'utilisation minimum pour exécuter la cmdlet Unprotect-RMSFile est maintenant Save As, Export (EXPORT) plutôt que Copy (EXTRACT).

     

    Azure Information Protection Client sur Windows Update

    • 25/8/2019

    [AIP] Disponibilité Générale de la version 2.2.19.0 du client Unified Labeling

    Microsoft vient de publier la version 2.2.19.0 du client Unified Labeling d’Azure Information Protection.

    Parmi les changements sur l’Unified Labeling Client on retrouve :

    • Le client peut télécharger avec succès sa stratégie et afficher les étiquettes/labels de sensibilité actuelles. Cette correction est nécessaire après la mise à niveau d'une version précédente et vous n'avez configuré aucun type d'information personnalisée dans votre label center.
    • Améliorations générales des performances et de la stabilité.


    Télécharger Azure Information Protection Client

    • 25/8/2019

    Qu’est-ce qu’implique l’annonce de retrait de Skype for Business Online au 31 juillet 2021 ?

    Il y a quelques jours, Microsoft annonçait le retrait du service Skype for Business Online pour le 31 juillet 2021. Cela signifie qu’après ces 24 mois, le service ne sera plus disponible. Dans cet intervalle, les clients n’auront pas d’impacts et pourront toujours ajouter de nouveaux utilisateurs. Néanmoins le 1er Septembre 2019, tous les nouveaux tenant Office 365 seront directement dans un mode Teams.

    Cette annonce ne concerne pas les utilisateurs du service Skype (Consumer) et Skype for Business Server !

    Qu’est ce que cela implique pour les clients Skype for Business Online ?

    • Les clients actuels Skype for Business Online ne subiront aucun changement de service jusqu'au 31 juillet 2021. Par la suite, les clients ne pourront plus accéder au service Skype for Business Online.
    • Les clients Skype for Business Online et ceux qui disposent de configurations hybrides (en ligne et On-Premises) auront jusqu'au 31 juillet 2021 pour passer à Microsoft Teams.
    • Les clients actuels Skype for Business Online pourront ajouter/supprimer des utilisateurs selon leurs contrats jusqu'au retrait du service.
    • La prise en charge de l'intégration des fournisseurs tiers d'audioconférence (ACP) dans Skype for Business Online a été prolongée jusqu'au 31 juillet 2021, avec une prise en charge limitée pour les tenants actifs restants afin d'accorder un délai supplémentaire pour la transition.

    Source

    • 24/8/2019

    Mise à jour du package pour faire du Workplace Join sur Windows 7, Windows 8.1, Windows Server 2008 R2, 2012 ou 2012 R2

    Microsoft a mis à jour le package permettant de faire du Workplace Join pour les machines Windows 7, Windows 8, Windows 8.1, Windows Server 2008 R2, 2012 ou 2012 R2. En effet, ces systèmes n’avaient pas été conçu pour pouvoir joindre ou s’enregistrer dans Azure Active Directory. Ce package supplémentaire permet de réaliser un enregistrement à Azure Active Directory ce qui ouvre les capacités d’accès conditionnel basé sur le périphérique pour ces systèmes d’exploitation.

    La nouvelle version (2.5) du package apporte notamment

    • Un scénario de restauration automatique quand l’état de synchronisation du client est périmé.
    • Un meilleur dépannage avec la commande autoworkplace.exe /i
    • Une capacité de voir l’état d’enregistrement sans avoir besoin de l’interface avec autoworkplace.exe /status
    • Une option pour utiliser des paramètres SCP côté client pour supporter le scénario de configuration avec une forêt unique avec plusieurs tenants Azure AD

    Télécharger Microsoft Workplace Join for non-Windows 10 computers