Jean-Sébastien DUCHENE Blog's

Actualité, Tips, Articles sur l'ensemble des Technologies Microsoft (SCCM/SMS, EMS, Microsoft Intune, Microsoft Azure, Windows 10, SCOM, MDOP...)
    • 28/2/2019

    [SCCM 1810] System Center Configuration Manager Visio Shapes (Stencil) Updated for ConfigMgr 1810 (v1.4)

    I’ve updated for System Center Configuration Manager 1810 the Visio Stencils/Shapes (v1.4) that I’ve created for System Center 2012 R2 Configuration Manager. As a reminder, it is not official but based on some models seen in the Microsoft sessions. It is based on stencil that some people from the community had published for SCCM 2007. This new version includes the changes from CM 1810 and some others updates.

    Version 1.4 changes include :

    • Adding Primary Site Servers (HA Active/Passive)
    • Adding CAS Site Servers (HA Active/Passive)
    • Adding Data Warehouse Synchronization Point - CAS
    • Adding Data Warehouse Synchronization Point - Primary Site
    • Adding Azure Web Apps
    • Adding Azure Native Apps
    • Adding Desktop Analytics
    • Adding Jamf Pro
    • Adding Datalert
    • Adding an Android Enterprise Device in addition to a Legacy Device
    • Tagging System Health Validator Point as Deprecated as it cannot be installed for few releases now.

     

    Download ConfigMgr (SCCM) 1810 Visio Stencils v1.4 from TechNet Gallery

    Any feedbacks are appreciated.

    This stencil is provided "AS IS" without express or implied warranty of any kind.

    En français :
    Je profite de plusieurs changements sur les versions précédentes afin de mettre à jour les gabarits (Stencils/Shapes) que j’avais créé. La mise à jour couvre les nouvelles fonctionnalités et la mise à jour de certaines formes. Pour rappel, il n’est pas officiel mais se base sur certains modèles aperçus dans les sessions Microsoft. Il se base sur le stencil qu’avait publié la communauté pour SCCM 2007.

    Parmi les changements, on retrouve :

    • Ajout de serveurs de site primaire (HA actif/passif)
    • Ajout de serveurs de site CAS (HA actif/passif)
    • Ajout d'un Data Warehouse Synchronization Point - CAS
    • Ajout d'un Data Warehouse Synchronization Point - Primary Site
    • Ajout d’Azure Web Apps
    • Ajout d’Azure Native Apps
    • Ajout de Desktop Analytics
    • Ajout de Jamf Pro
    • Ajout de Datalert
    • Ajout d'un périphérique Android Enterprise en plus d'un périphérique Android hérité
    • Marquage System Health Validator Point comme obsolète car il ne peut pas être installé depuis quelques versions maintenant.
    • 27/2/2019

    [SCCM 1810] Publication du Correctif (KB4490434) pour un problème de découverte utilisateur

    Microsoft a publié un correctif non cumulatif (KB4490434) à destination de System Center Configuration Manager 1810. Ce second correctif résout un problème concernant la découverte des utilisateurs où on peut observer la création de colonnes dupliquées dans la table User_DISC.
    Dans ce cas de figure, les fonctionnalités qui utilisent les données de la découverte Active Directory des utilisateurs (collections, requêtes, déploiements) peuvent retourner des résultats incorrects ou incomplets. Ce scénario survient :

    • Lors de la mise à niveau vers la version 1810
    • Si des attributs additionnels sont collectés par la découverte des utilisateurs Active Directory
    • Une différence existe entre la casse actuellement spécifiée de l'attribut et la casse précédemment saisi pour l'attribut.

    Par exemple, cela survient si vous ajoutez manuellement l'attribut "Description" dans la console, que vous le supprimez, puis que vous l’ajoutez à nouveau au format minuscule.

    Vous pouvez potentiellement voir des problèmes dans le fichier SMS_Message_Processing_Engine.log puisque les colonnes sont continuellement ajoutées tant que le problème n’est pas corrigé :

    Undefined or max length increased discovery property: description~~
    Updating discovery schema for architecture User with 1 undefined discovery properties~~
    Created column generation xml for global table. <COLUMN NAME="description675" TYPENAME="NVARCHAR" MAX_LENGTH="32" />~~
    Created table begin xml for global table. <TABLE NAME="User_DISC">~~
    Created table end xml for global table. </TABLE>~~
    ERROR: Sql exception when handle schema change. System.Data.SqlClient.SqlException (0x80131904): A .NET Framework error occurred during execution of user-defined routine or aggregate "spModifyGlobalTable": ~~System.Data.SqlClient.SqlException: Request submitted with too many parameters. The maximum number is 2100.~~

    Pour savoir si vous êtes affecté par le problème, vous pouvez utiliser la commande SQL suivant :

    -- Get extended AD attributes for all sites if AD user discovery is enabled

    DECLARE ADAttributeCursor CURSOR LOCAL FOR SELECT scpl.Value FROM SC_Component sc 

    INNER JOIN SC_Component_Property scp ON sc.ID = scp.ComponentID 

    INNER JOIN SC_Component_PropertyList scpl ON sc.ID = scpl.ComponentID

    WHERE ComponentName = 'SMS_AD_USER_DISCOVERY_AGENT' AND scp.Name = 'SETTINGS' AND Value1 = 'ACTIVE' AND scpl.Name = 'AD Attributes'

     

    DECLARE @ADAttributes TABLE (Attribute NVARCHAR(MAX))

    DECLARE @ADAttributesXML XML

     

    OPEN ADAttributeCursor;     

    FETCH NEXT FROM ADAttributeCursor INTO @ADAttributesXML;   

    WHILE @@FETCH_STATUS = 0    

    BEGIN 

        INSERT INTO @ADAttributes SELECT T.c.value('.', 'NVARCHAR(MAX)') AS ADAttribute FROM @ADAttributesXML.nodes('/PropList/Value') T(c)

     

        FETCH NEXT FROM ADAttributeCursor INTO @ADAttributesXML;    

    END 

     

    CLOSE ADAttributeCursor;  

    DEALLOCATE ADAttributeCursor; 

     

    -- Compare with User Discovery Schema to find out if all extended AD attributes are defined there and have case sensitive name difference

    SELECT aa.Attribute AS ProposedAttribute, dpd.PropertyName AS ActualAttribute FROM (SELECT DISTINCT Attribute FROM @ADAttributes) aa

    INNER JOIN DiscPropertyDefs dpd ON aa.Attribute = dpd.PropertyName AND dpd.DiscArchKey = 4

    WHERE aa.Attribute <> dpd.PropertyName COLLATE SQL_Latin1_General_CP1_CS_AS

    Si ce problème survient, vous devez :

    • Désactiver la découverte d’utilisateurs Active Directory
    • Contacter le support Microsoft pour corriger les problèmes de données dans votre environnement.

    L’installation du correctif ne résout pas le problème mais empêche simplement que celui-ci survienne.

    L’installation doit se faire depuis la console d’administration dans la partie Updates and Servicing. Notez qu’il n’est pas nécessaire d’installer le correctif cumulatif (4486457) précédemment publié

    Note : Il n'y a pas d'ordre pour installer l'un des deux correctifs.

    • 27/2/2019

    [SCCM 1810] Publication du Correctif (KB4490575) pour un problème de mises à jour logicielles

    Je vous parlais de ce problème il y a quelques jours, Microsoft a publié un correctif non cumulatif (KB4490575) à destination de System Center Configuration Manager 1810. Ce premier correctif résout un problème concernant l’installation des mises à jour logicielles qui ne répondent pas et ne renvoient pas d’état de finalisation que ce soit lors de l’installation avec le client SCCM ou dans une séquence de tâches. Ceci survient principalement quand on installe plusieurs mises à jour mixant à la fois Office et Windows. Le problème survient le plus souvent sur Windows 10 1709 mais peut aussi affecter d’autres versions.

    Si on exécute les mises à jour lors d’une étape Install Software Update, le composant InstallSWUpdate renvoie les messages suivants dans smsts.log :

    Waiting for job status notification ...

    Dans le fichier WUAHandler.log vous pouvez voir que l’installation de toutes les mises à jour s’effectue avec succès bien que la main ne soit jamais rendue.

    Lorsque ce comportement intervient dans un scénario de gestion des mises à jour logicielles (SUM) classique (sans séquence de tâches), vous pouvez voir que l’installation ne démarre jamais et que toutes les mises à jour restent bloquées dans un état ciStateDownloading. Vous pouvez notamment voir les éléments suivants dans le fichier UpdatesDeployment.log :

    Update (Site_73523994-7973-422C-A02B-F83A7A327F36/SUM_cca31bf2-b813-48d1-a4cd-ce317d024303) Progress: Status = ciStateDownloading, PercentComplete = 0, Result = 0x0 UpdatesDeploymentAgent

    Dans certains environnements, vous pouvez voir que le processus d’installation s’arrête après. Le redémarrage du client (CCMexec.exe) peut permettre de continuer le processus.

    L’installation doit se faire depuis la console d’administration dans la partie Updates and Servicing. Notez que vous devez au préalable avoir installé le correctif cumulatif 4486457 Update rollup for System Center Configuration Manager current branch, version 1810

    Note : Il n'y a pas d'ordre pour installer l'un des deux correctifs.

    • 26/2/2019

    [Azure] Les annonces au 26 février 2019

    Voici le récapitulatif des annonces faites par Microsoft concernant sa plateforme Microsoft Azure.

    Parmi les annonces, on retrouve notamment :

    General

    Azure MarketPlace

    Azure Storage

    • Preview d’une fonctionnalité permettant de contrôler le failover de compte de stockage géo redondant (GRS). Si la région principale de votre compte de stockage géo-redondant devient indisponible pendant une période prolongée, vous pouvez forcer un basculement de compte. Lorsque vous effectuez un basculement, toutes les données du compte de stockage sont transférées dans la région secondaire et la région secondaire devient la nouvelle région primaire. Les enregistrements DNS de tous les terminaux de services de stockage - blob, Azure Data Lake Storage Gen2, fichier, file d'attente et table - sont mis à jour pour indiquer la nouvelle région principale. Une fois le basculement terminé, les clients peuvent automatiquement commencer à écrire des données dans le compte de stockage à l'aide des endpoints de la nouvelle région principale, sans aucune modification du code.
    • Disponibilité Générale d’Azure Data Lake Storage (ADLS) Génération 2. La solution combine l'évolutivité, la rentabilité, le modèle de sécurité et les riches capacités d'Azure Blob Storage avec un système de fichiers hautes performances conçu pour l'analyse et compatible avec le système de fichiers distribués Hadoop. La solution offre des capacités de sécurité de la données construite dans Azure Blob Storage comme le chiffrement des données en transit et au repos via TLS 1.2, les firewalls pour les comptes de stockage, l’intégration des réseaux virtuels et la sécurité des accès basée sur des rôles.
    • Disponibilité Générale d’Azure Data Explorer (AFX), un service d'analyse de données rapide et entièrement géré pour l'analyse en temps réel de grands volumes de données en continu. ADX est capable d'interroger 1 milliard d'enregistrements en moins d'une seconde sans aucune modification des données ou métadonnées requises. ADX comprend également des connecteurs natifs vers Azure Data Lake Storage, Azure SQL Data Warehouse et Power BI et est livré avec un langage de requête intuitif permettant aux clients d'obtenir un aperçu en quelques minutes.

    Azure Security Center

     

    IaaS

    Operations Management Suite

    Azure Backup

    Azure Site Recovery

    Azure Monitor

    • Améliorations d’Application Insights avec les éléments suivants. Pour rappel, Application Insights permet de superviser les performances des applications Java, .NET, et Node.JS ainsi que les applications JavaScript.
      • La vue de transactions de bout en bout supporte maintenant le filtrage d’une période de temps données afin d’analyser les éléments.
      • L'onglet Rôles préserve maintenant la sélection des rôles lors de la navigation à partir de l’application map.
      • L'onglet Rôles n'affiche plus les instances de rôles dupliqués avec des noms de rôles vides.
      • Le panneau de détails n'affiche plus "..." à côté d'éléments tels que les temps d'événements qui n'auraient pas dû avoir ce bouton.
      • Microsoft a rendu l’application map plus facile à lire et naviguer avec un bouton Zoom to fit, les nœuds groupés sont maintenant affichés sous forme de pile pour les rendre plus faciles à distinguer. On retrouve l’ajout de boutons "expand" et "collapse" pour les cartes insights dans le menu déroulant. Les nœuds sans connexion entrante sont maintenant affichés plus près de leur première connexion sortante sur la carte, ce qui devrait faciliter la lecture de nombreuses cartes. Les cartes avec de nombreux bords groupés complexes afficheront maintenant des statistiques.
      • Mise à jour de la calculatrice de prix pour estimer la facture autour d’Application Insights.
      • Publication de la version 2.9.0 pour le SDK .Net et la version 2.6.0 du SDK ASP.NET Core.
      • Publication de la version Alpha du SDK C# OpenCensus.
    • Les changements suivants sont intégrés à Log Analytics :
      • La tuile et les boutons Log Analytics sont renommés Log Analytics workspaces.
      • Log Analytics utilise Azure Data Explorer pour gérer ses données. Les données sont stockées dans Azure Storage et sont chiffrées à l'aide d'une clé de chiffrement gérée par Microsoft. Azure Data Explorer utilise également une mémoire cache sauvegardée par SSD qui stocke généralement les deux dernières semaines de données. Depuis janvier, les données des caches SSD sont également chiffrées dans toutes les régions.
      • Log Analytics enregistre maintenant automatiquement vos requêtes, afin qu'elles ne se perdent pas. Cette fonction nécessite l'activation des cookies tiers dans votre navigateur.
      • De nouvelles icônes indiquent les éléments de table dans la vue schéma, ce qui facilite la lecture. Lors du survol d'une table, un nouvel élément de prévisualisation permet une exécution rapide d'une requête pour afficher le contenu d'une table.
      • Microsoft permet la personnalisation des champs de filtrage directement à partir du volet de filtrage. Sélectionnez simplement la nouvelle icône Select filter et ajoutez le champ dont vous avez besoin.
      • Vous pouvez ajouter plus de contexte à vos graphiques en utilisant le mot-clé titre pour ajouter un titre.
    • Azure Monitor Workbooks permet maintenant de prendre un workbook et l’accrocher à toutes les sections comme titre dans un tableau de bord Azure via le bouton Pin. Les Workbooks créés à partir de l'onglet Troubleshooting Guides ou d'Azure Monitor for Resource Groups vous permettent désormais de choisir dans quel abonnement, groupe de ressources et emplacement les enregistrer.
    • A partir de la page des métriques, vous pouvez maintenant choisir à quel tableau de bord Azure vous placez vos cartes métriques. Vous pouvez même créer un nouveau tableau de bord à partir du même endroit.

    Azure SQL

    • Disponibilité Générale de la supervision automatique des performances (Query Store) dans Azure SQL Data Warehouse. Ceci est disponible pour les entreprises hébergeant des bases sur les deux générations 1 et 2. Query Store permet d’aider à dépanner les performances des requêtes en assurant le suivi des requêtes, des plans de requêtes, des statistiques d'exécution et de l'historique des requêtes pour vous aider à surveiller l'activité et les performances de votre data warehouse. Query Store est un ensemble de magasins internes et de vues de gestion dynamique (DMV) qui vous permettent :
      • Identifier et affiner les principales requêtes consommatrices de ressources.
      • Identifier et améliorer les charges de travail ad hoc.
      • Évaluer la performance de la requête et son impact sur le plan par des changements dans les statistiques, les indices ou la taille du système (paramètre DWU).
      • Voir le texte complet de la requête pour toutes les requêtes exécutées.

    Azure Data Factory

    • De nouveaux connecteurs sont disponibles pour Azure Data Factory avec notamment la capacité d’ingérer des données à partir de Google Cloud Storage dans Azure Data Lake Gen2 et traité dans Azure Databricks avec des données à partir d’autres sources, d’intégrer des données à partir de stockage de données compatibles Amazon S3, de copier des données à partir de MongoDB vers l’API Azure Cosmos DB MongoDB, et récupérer les données à partir des points de terminaisons RESTful. Les connecteurs suivants ont été mis à jour : Azure Database for MariaDB, Generic OData, et Dynamics AX.
    • Avec la fonctionnalité Mapping Data Flow dans Azure Data Factory, vous pouvez visualiser le design, construire et gérer les processus de transformation de données sans avoir à apprendre Spark ou avoir des connaissances importantes sur les infrastructures distribuées.

    HDInsight

    Azure IoT

    • Public Preview d’IoT Hub Device Streams, un nouveau service PaaS permettant de fournir les fondation d‘une connectivité de bout en bout sécurisée pour les périphériques IoTLe service correspond à un tunnel de transfert de données qui assure la connectivité entre deux terminaux TCP/IP : un côté du tunnel est un périphérique IoT et l'autre côté est un terminal client qui a l'intention de communiquer avec le périphérique. Il existe de nombreuses configurations où la connectivité directe à un périphérique est interdite en raison des stratégies de sécurité de l’entreprise et des restrictions de connectivité imposées à ses réseaux. Ce service permet d’offrir une réponse à ces scénarios.
    • Azure IoT Edge peut fonctionner dans une machine virtuelle pour les systèmes d’exploitation suivants.

    Autres services

    • 26/2/2019

    [OMS] Configurer une limite journalière sur l’ingestion de données

    Le service Operations Management Suite (OMS) permet en autre de collecter des données et faciliter les opérations sur vos services d’infrastructure (Datacenter et Cloud). Le service a un modèle qui peut être lié à la consommation et l’ingestion de données si vous utilisez le niveau de service gratuit ou par GB (per GB Standalone). Il est donc primordial de contrôler le flux afin de ne pas avoir des surprises en termes de facturation. Cela peut être notamment le cas si vous essayez la solution ou pour des labs.

    Pour voir le suivi de la consommation, vous pouvez naviguer dans le portail Azure puis dans Logs Analytics Workspaces. Vous devez sélectionner votre workspace puis Usage and estimated costs. Cette espace permet de voir les niveaux d’ingestion et de stockage des données en fonction des services (LogManagement, Office365, Security, DNSAnalytics, etc.) que vous avez activé.

     

    Pour limiter le volume de données journalier, choisissez Data volume management. Ce panneau permet de jouer sur :

    • La durée de rétention de données (en jour)
    • Le volume de données (GB) par jour

    • 26/2/2019

    [Intune] Problème d’état en échec sur des stratégies Windows Defender Antivirus

    Il semble qu’un problème touche la remontée de l’état des stratégies Windows Defender configurées avec Microsoft Intune. Ces dernières remontent un état Failed.

    En regardant en détail l’état d’un périphérique et de la stratégie associée, on peut voir que l’état failed est remonté pour la planification de l’analyse journalière (Schedule scan day) :

     Pour résoudre le problème, vous devez configurer les paramètres suivants :

    • Type of system scan to perform: Not Configured
    • Schedule scan day: La valeur que vous souhaitez

     

    C'est un bug connu de Microsoft dû à des paramétrages dupliqués dans l'interface. Deux des paramétrages pointe sur le même noeud CSP. Ceci sera corrigé sur la version de Mars.

    • 25/2/2019

    [Intune] Les nouveautés de mi-février 2019

    Microsoft vient d’annoncer la mise à disposition d’un nouvel ensemble de fonctionnalités pour Microsoft Intune.

    Les fonctionnalités suivantes sont ajoutées :

    Enregistrement des périphériques

    • [macOS] Le portail d’entreprise sur macOS se voit doté d’un mode sombre (Dark Mode). Ce dernier est activé lorsque vous activez le mode sombre sur des périphériques macOS 10.14+.

    Gestion du périphérique

    • [Windows 10] Vous pouvez renommer un périphérique Windows 10 1803+ enregistré via Intune > Devices > All devices > choisissez un périphérique > Rename device.

    Configuration du périphérique

    • [General] Amélioration de l’interface pour l’accès conditionnel dans la console Intune en incluant :
      • Remplacement de la tuile d'accès conditionnel Intune par la tuile d'Azure Active Directory. Cela assure d'avoir accès à la gamme complète des paramètres et des configurations pour l'accès conditionnel (qui reste une technologie Azure AD), à partir de la console Intune.
      • Microsoft a renommé la tuile On-premises access en tuile Exchange Access et déplacé la configuration du connecteur Exchange service sur cette tuile renommée.
    • [Windows 10] Les scripts PowerShell peuvent maintenant s’exécuter en 64-bits sur des périphériques 64-bits. Pour ce faire, vous pouvez naviguer dans Device configuration > PowerShell scripts > Add > Configure > Run script in 64 bit PowerShell Host.
    • [Windows 10] Plusieurs changements sur les périphériques Windows 10 dans un mode Kiosk :
      • Pour Microsoft Edge : Use Microsoft Edge Kiosk Mode et Refresh Browser after idle time
      • Pour Les favoris et la recherche : Allow changes to search engine
      • Ajout de Microsoft Edge ou le navigateur Kiosk pour s’exécuter comme application sur le périphérique Kiosk
      • De nouvelles fonctionnalités et paramétrages sont disponibles pour autoriser ou restreindre incluant :

    • [iOS/macOS] Vous pouvez restreindre certains paramétrages et fonctionnalités sur des périphériques exécutant iOS et macOS. Cette mise à jour ajoute plus de fonctions et de paramètres que vous pouvez contrôler, y compris le réglage de l'heure à l'écran, la modification des paramètres eSIM et des plans cellulaires, et plus sur les périphériques iOS. Aussi, retarder la visibilité de l'utilisateur des mises à jour logicielles et bloquer la mise en cache du contenu sur les périphériques macOS.
    • [macOS] Les utilisateurs macOS sont invités à mettre à jour leur mot de passe. Intune force le paramétrage ChangeAtNextAuth sur les périphériques utilisateurs. Ce paramètre a une incidence sur les utilisateurs et les périphériques qui ont des stratégies de mot de passe de conformité ou des profils de mot de passe de restriction de périphériques. Cette invite s'affiche lorsqu'un utilisateur exécute pour la première fois une tâche nécessitant une authentification, telle que la connexion à l'appareil. Les utilisateurs peuvent également être invités à mettre à jour leur mot de passe lorsqu'ils font quoi que ce soit qui nécessite des privilèges administratifs, comme demander l'accès au porte-clés. Tout changement de stratégie de mot de passe nouveau ou existant par l'administrateur invite à nouveau les utilisateurs à mettre à jour leur mot de passe.
    • [macOS] Vous pouvez assigner des certificats SCEP (Simple Certificate Enrollment Protocol) en utilisant des attributs de périphériques macOS sans que ces derniers aient une affinité utilisateur. Le profil de certificat peut ensuite être associé à un à un profil Wi-Fi ou VPN.
    • [iOS] Pour les périphériques iOS, on retrouve un changement d’emplacement des paramétrages Safari et les mises à jour logicielles :
      • Les paramétrages Safari sont déplacés de Safari (Device configuration > Profiles > New profile > iOS > Device restrictions) vers Built-In Apps
      • Le paramétrage  Delaying user software update visibility for supervised iOS devices vers Device Restriction – General.
    • [iOS] Le paramétrage Enabling restrictions in the device settings pour les périphériques iOS supervisés est renommé Screen Time (Supervised Only). Le comportement reste le même.
    • [Android] Les périphériques Android Enterprise en mode Kiosk sont maintenant appelés « Dedicated Devices ». Ceci permet de s’aligner avec la terminologie Android. Ce profil est accessible dans Device configuration > Profiles > Create profile > Android enterprise > ** Device Owner Only > Device Restrictions > Dedicated devices

     

    Gestion des applications

    • [Windows 10] Vous pouvez maintenant collecter les journaux d’échec de l’installation des applications Win32 à partir de la tuile Troubleshooting ou depuis le périphérique dans la partie Managed Apps.

    • [Windows 10] Un nouvel écran appelé App Categories a été ajouté pour améliorer la navigation et la sélection des applications dans le Portail d'entreprise pour Windows 10. Les utilisateurs verront maintenant leurs applications triées par catégories telles que Featured, Education, et Productivity. Ce changement apparaît dans les versions 10.3.3.3451.0 et ultérieures du Portail d'entreprise.
    • [Android] Intune va prendre en charge les APIs Google Play Protect sur les périphériques Android. Ceci permet d’ajouter les capacités de contrôle des périphériques rootés pour les périphériques non enregistrés. Il est possible d’empêcher des utilisateurs d'accéder aux données de l'entreprise ou leurs comptes d'entreprise peuvent être supprimés de leurs applications dotées d'une stratégie.
    • [iOS] De nouveaux messages d’erreur d’installation d’applications sont disponibles dans la colonne Status Details dans Client Apps > Apps > <Application> > Device install status :
      • Failure for VPP apps when installing on shared iPad
      • Failure when app store is disabled
      • Failure to find VPP license for app
      • Failure to install system apps with MDM provider
      • Failure to install apps when device is in lost mode or kiosk mode
      • Failure to install app when user is not signed in to the App Store

     

    Supervision et Dépannage

    • [Général] Microsoft a publié une application Intune Compliance (Data Warehouse) permettant aux utilisateurs d’accéder au tableau de bord Power BI Intune Data warehouse en ligne. Il est maintenant possible de partager ces rapports sans avoir à quitter le navigateur et effectuer d’installations particulières.

    • [Général] Le rapport Enrollment Failures a été déplacé vers la section Monitor de la tuile Device Enrollment. Deux nouvelles colonnes (Enrollment Method et OS Version) ont été ajoutées.
    • [Général] Le rapport Company Portal abandonment a été renommé Incomplete user Enrollments.

    Sécurité

    • [Général] Lorsqu'un administrateur crée une ressource, toutes les balises scope attribuées à l'administrateur seront automatiquement attribuées à ces nouvelles ressources.

     

    Plus d’informations sur : https://docs.microsoft.com/en-us/intune/whats-new

    • 25/2/2019

    [CM1806+] Retirer/Désinstaller les rôles du catalogue d’applications

    Depuis Configuration Manager 1806, les rôles ne sont plus nécessaires pour permettre le déploiement d’applications en libre-service ciblées sur les ressources utilisateurs puisque c’est le Management Point qui endosse cette responsabilité. Notez que ce dernier permet d’assurer une charge similaire voir d’une façon plus optimisée que par l’usage des rôles d’Application Catalog. En outre, la capacité de définir des Boundary Groups permet de mieux contrôler le comportement des clients.

    Avec la Technical Preview 1901 de System Center Configuration Manager, Microsoft vient de finir le travail de portage des fonctionnalités présentes dans le catalogue d’applications vers le Centre Logiciels (Software Center). Il manquait encore la capacité pour l’utilisateur de définir manuellement une machine comme étant sa machine principal (Primary Device).

    Tout ce travaille permet notamment de s’affranchir de la dépendance sur Silverlight.

    Microsoft finira surement par déprécier les rôles Application Catalog website point et Application Catalog Web Service Point et les retirer du produit. Afin de retirer les rôles voici les actions à opérer :

    1. Mettre à jour l’ensemble des clients avec le client Configuration Manager 1806 ou plus
    2. Forcer l’utilisation du nouveau Software Center avec le paramétrage Use the new Software Center dans les paramétrages du client (Computer Agent).
    3. Définir le branding du Software Center dans les paramétrages du client dans la partie Software Center comme cela était défini au niveau des propriétés du catalogue d’applications.
    4. Retirer la sélection d’un rôle ou la définition d’une URL personnalisée sur le paramétrage de client “default application catalog web site” dans la partie Computer Agent.

    1. Désinstaller les rôles Application Catalog website point et Application Catalog Web Service point.

    Vous avez fait le tour des éléments à prendre en considération.

    • 24/2/2019

    Le Correctif Cumulatif 12 pour Exchange Server 2016 est disponible

    L’équipe Exchange vient de publier le 12ème Cumulative Update (CU12) (15.01.1713.005) pour Exchange Server 2016. Microsoft a changé la stratégie d’assistance sur le cycle de vie d’Exchange ne nécessitant plus l’application des derniers Cumulative Update pour être supporté.

    Il apporte les changements suivants :

    • 4487596 Emails are blocked in moderator mailbox Outbox folder when you send large volumes of emails in Exchange Server 2016
    • 4456241You receive a meeting request that has a "not supported calendar message.ics" attachment in Exchange Server 2016
    • 4456239New-MailboxRepairRequest doesn't honor RBAC RecipientWriteScope restrictions in Exchange Server 2016
    • 4487591The recipient scope setting doesn't work for sibling domains when including OUs in the scope in Exchange Server 2016
    • 4468363MRM does not work for mailboxes that have an online archive mailbox in Exchange Server
    • 4487603"The action cannot be completed" error when you select many recipients in the Address Book of Outlook in Exchange Server 2016
    • 4487602Outlook for Mac users can still expand a distribution group when hideDLMembership is set to true in Exchange Server 2016
    • 4488076Outlook on the Web can't be loaded when users use an invalid Windows language in operating system in Exchange Server 2016
    • 4488079Exchange Server 2016 allows adding Exchange Server 2019 mailbox server into a same DAG and vice versa
    • 4488077Can't configure voice mail options when user is in different domain in Exchange Server 2016
    • 4488263X-MS-Exchange-Organization-BCC header isn't encoded correctly in Exchange Server 2016
    • 4488080New-MigrationBatch doesn't honor RBAC management scope in Exchange Server 2016
    • 4488262Delivery Reports exception when tracking a meeting request that's sent with a room resource in Exchange Server 2016
    • 4488268Disable the irrelevant Query logs that're created in Exchange Server 2016
    • 4488267Test-OAuthConnectivity always fails when Exchange Server uses proxy to connect to Internet in Exchange Server 2016
    • 4488266Client application doesn't honor EwsAllowList in Exchange Server 2016
    • 4488265"There are problems with the signature" error occurs for digital signature message if attachment filtering is enabled in Exchange Server 2016
    • 4488264Mailbox that has a bad move request can't be cleaned up from destination mailbox database in Exchange Server 2016
    • 4488261Event ID 1002 when the store worker process crashes in Exchange Server 2016
    • 4488260New-MailboxExportRequest and New-MailboxImportRequest don't honor RBAC management scope in Exchange Server 2016
    • 4488259MailTip shows wrong number of users for a distribution group if the users are in different domains in Exchange Server 2016
    • 4488258OAuth authentication is removed when saving MAPI virtual directory settings in EAC in Exchange Server 2016
    • 4490060Exchange Web Services Push Notifications can be used to gain unauthorized access
    • 4490059Reducing permissions required to run Exchange Server using Shared Permissions Model

     

    Notez qu’après avoir installé le Cumulative Update 12 pour Exchange Server 2016, le bouton Accepter disparaît dans le message d'invitation d'un calendrier partagé dans Microsoft Outlook sur le client Web. Par conséquent, vous ne pouvez pas ajouter le calendrier partagé en cliquant directement sur le bouton Accepter. Référez-vous à la KB4471392 pour plus d’informations.

    Télécharger :

     

    • 24/2/2019

    Le Correctif cumulatif 22 pour Exchange Server 2013 est disponible

    L’équipe Exchange vient de publier le 22ème Cumulative Update (CU22) (15.00.1473.003) pour Exchange Server 2013.

    Il corrige les vulnérabilités suivantes : Microsoft Common Vulnerabilities and Exposures CVE-2019-0686 et Microsoft Common Vulnerabilities and Exposures CVE-2019-0724.

    Il apporte les changements suivants :

    • 4487603 L’erreur "The action cannot be completed" lorsque vous sélectionnez plusieurs destinataires dans le carnet d'adresses d'Outlook dans Exchange Server 2013
    • 4490060 Les notifications Push des Web Service Exchange peuvent être utilisées pour obtenir un accès non autorisé.
    • 4490059 Réduction des autorisations requises pour exécuter Exchange Server à l'aide d'un modèle de permissions partagées

    Télécharger :

    • 23/2/2019

    [Office 365] Microsoft retire la messagerie unifiée d’Exchange Online

    Microsoft a annoncé le retrait de la fonctionnalité Messagerie Unifiée (Unified Messaging) d’Exchange Online et son remplacement par les services Cloud Voicemail et Auto Attendant. Ceci impact le traitement des messages vocaux.

    Les infrastructures Lync Server 2013 et Skype for Business Server se connectant à Exchange UM Online seront transférées par Microsoft sur Cloud Voicemail au plus tard en février 2020. Les entreprises qui utilisent Lync 2010 Server ne seront pas transférées et doivent se mettre à jour vers Skype for Business Server avant février 2020.

    Plus d’informations sur les considérations : Retiring Unified Messaging in Exchange Online

    • 23/2/2019

    Rollup 26 disponible pour Exchange Server 2010 SP3

    L’équipe Exchange vient de publier le 26ème Rollup (KB4487052) pour Exchange Server 2010 SP3 (version 14.03.0442.000).

    Il corrige les vulnérabilités suivantes : Microsoft Common Vulnerabilities and Exposures CVE-2019-0686 et Microsoft Common Vulnerabilities and Exposures CVE-2019-0724.

    En outre, il corrige le problème suivant : 4490060  Les notifications Push des Web Service Exchange peuvent être utilisées pour obtenir un accès non autorisé.

    Télécharger Update Rollup 26 For Exchange 2010 SP3 (KB4487052)

    • 22/2/2019

    [AIP] Choisir l’option définie par défaut avec le bouton Encrypt dans Outlook

    Depuis la version 16.0.11023+ du client Office 365 ProPlus, il est désormais possible de choisir l’option sélectionnée par défaut quand on choisit le bouton Encrypt dans Outlook lors de l’utilisation d’Azure Information Protection (AIP).

    Par défaut le bouton Ecnrypt applique l’option Encrypt-Only (pour les utilisateurs d’Exchange Online). Dans Outlook Web Access, le bouton Protect applique aussi la stratégie Encrypt-Only.

    Sur Outlook, vous pouvez changer cette valeur en configurer la valeur de registre DefaultPermissionTemplateGuid au niveau de la clé HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Common\DRM en spécifiant :

    • Un GUID correspondant au modèle que vous souhaitez appliquer quand l’utilisateur clique sur le bouton Encrypt. Si le GUID n’est pas valide ou disponible, alors le bouton réagit comme prévu par défaut (Encrypt Only)
    • smime: L’option de chiffrement S/MIME est alors utilisée.
    • Irmdnf : L’option Do Not Forward est appliquée
    • Irmencrypt : L’option Encrypt est appliquée.

    Vous pouvez aussi configurer ces options via les modèles d’administration d’Office dans la partie User Configuration > Administrative Templates > Microsoft Outlook 2016 > Security > Cryptography. Le paramétrage Configure default encryption option for the Encrypt button permet de gérer ce comportement avec les mêmes options que spécifiées plus haut.

    Notez que pour l’instant ces possibilités en sont pas offertes pour Outlook sur Mac.

    • 21/2/2019

    Disponibilité Générale de Windows Admin Center 1902

    Microsoft vient d’annoncer la disponibilité générale de la nouvelle interface graphique permettant de gérer les infrastructure Windows Server : Windows Admin Center en version 1902. Outre cette publication, Microsoft propose aussi le Software Development Kit (SDK) pour étendre les capacités de l’interface. Pour rappel, Windows Admin Center permet de gérer tous les rôles des infrastructures Windows Server (File Server, Hyper-V, Storage Replica, Cluster, etc.) ainsi que de s’interconnecter à des services Azure.

    Parmi les nouveautés, on retrouve notamment les capacités :

    • Microsoft publie la capacité de créer une liste de connexions unique qui peut être partagée entre tous les utilisateurs de WAC. Pour ajouter des serveurs, des clusters et des PC comme connexions partagées, vous devez être un administrateur de WAC. Allez dans Gateway Settings > Shared Connections, puis ajoutez des serveurs, des clusters et des PC comme vous le feriez normalement. Vous pouvez également baliser les serveurs dans ce volet, et ces balises apparaîtront pour tous les utilisateurs. Les balises sont immuables depuis la page d'accueil "Toutes les connexions", ce qui signifie que les utilisateurs WAC ne peuvent pas modifier les balises sur les connexions de serveur partagé.

    Pour les personnes qui utilisent RDCman, Microsoft a publié un script que vous pouvez utiliser pour exporter vos connexions RDCman sauvegardées vers un fichier.CSV que vous pouvez ensuite importer avec PowerShell pour maintenir toute votre hiérarchie de regroupement RDCman en utilisant des balises.

     

    Pour le Software Defined Networking (SDN) :

    • Nouvel outil de gestion des Access Control List. Avec le SDN, vous pouvez utiliser des listes de contrôle d'accès (ACL) pour gérer le flux de trafic de données à l'aide du pare-feu du datacenter et des ACL des sous-réseaux virtuels. Vous pouvez activer et configurer les règles du pare-feu du datacenter en créant des listes de contrôle d'accès qui seront appliquées à un sous-réseau virtuel.
    • Nouvel outil SDN Gateway est un logiciel multi-tenant conçu pour les routeurs BGP à destination des Cloud Service Providers (CSPs) et entreprises qui hébergent plusieurs réseaux virtuels de tenants en utilisant la virtualisation de réseau d’Hyper-V. Vous pouvez gérer et surveiller les connexions aux passerelles dans un environnement SDN en supportant trois types de connexions : IPSEC, GRE, L3
    • Nouvel Outil Logical Network Management permettant de gérer et superviser les réseaux logiques.
    • Vous pouvez maintenant choisir de connecter une VM à un VLAN ou à un réseau virtuel dans un environnement SDN

     

    Pour les entreprises qui utilisent la version 1809 de Windows Admin Center, vous devez mettre à jour vers la version 1902 dans les 30 jours pour rester supporter.

    Télécharger Windows Admin Center 1902

    • 21/2/2019

    [SCCM CB] Maximiser la réussite de la mise à niveau vers une nouvelle version de Windows 10

    Beaucoup d’entreprises utilisent System Center Configuration Manager Current Branch pour mettre à niveau les machines Windows 10 vers une version (Build) plus récente du système. On retrouve différentes possibilités de mises à niveau :

    • Utiliser une séquence de tâches qui comprend l’orchestration de prérequis (mise à jour de l’antivirus, etc.) puis chargement de l’image ISO afin de mettre à jour le système d’exploitation.
    • Utiliser la fonctionnalité Windows 10 Servicing qui implique l’usage des mises à jour pour déployer ces nouvelles versions. Cette méthode a un inconvénient : Elle ne permet pas l’orchestration d’actions de pré-installation (mise à jour de l’antivirus, mise à jour de certaines applications etc.). En outre, actuellement elle ne permet pas de prendre en compte les packs de langues, les fonctionnalités à la demande (On-Demand Features) mais ces limitations vont être levée avec l’arrivée des mises à jour Unified Updates Platform (UUP). Cette méthode reste la plus adéquate pour l’utilisateur car la majorité du travail peut se faire en tâche de fond et l’indisponibilité de la machine est alors fortement réduite.

    Comment optimiser la mise à niveau d’une version de Windows 10 via la fonctionnalité Windows 10 Servicing ?

    Outre les problèmes de compatibilité (antivirus, chiffrement, applications, et drivers, etc.), un des principaux problèmes est lié au temps d’exécution de ces mises à niveau qui peuvent dépasser le temps maximal défini par défaut (60 minutes sur les précédentes versions : 1709, 1803, 1809). Le timeout n’est appliqué que lors de la phase s’exécutant sur le système d’exploitation d’origine.

    Ceci est devenu problématique car à partir de Windows 10 1709, l’installeur Windows est configuré pour s’exécuter avec une priorité faible afin de ne pas impacter la productivité de l’utilisateur (Ceci n’est pas valable pour mise à niveau avec une séquence de tâches).  En outre, Microsoft a transféré l’exécution de nombreuses opérations dans le système d’exploitation d’origine et non plus dans la phase Windows RE ou de premier démarrage.

    Afin d’assurer un meilleur taux de succès, vous pouvez :

    Possibilité N°1 : Manuellement augmenter la durée maximale d’exécution timeout à une valeur plus adéquate à votre parc (en fonction des performances matérielles par exemple). Vous pourriez ainsi passer ce seuil de 60 minutes à 180 minutes.

    Pour ce faire, ouvrez la console d’administration et naviguez dans Software Library – Windows 10 Servicing – All Windows 10 Updates.

    Identifiez la mise à niveau que vous devez/avez déployé :

    Ouvrez les propriétés et l’onglet Maximum Run Time. Passez la valeur de 60 minutes à 120 par exemple. Adaptez la valeur selon vos besoins et votre expérience.

    Appliquez la valeur et réajuster au fil de vos tests.

     

    Possibilité N°2 : ajuster la priorité depuis ConfigMgr Technical Preview 1901 ou 1902 d’exécution de faible (Low) à Normal en ouvrant la console d’administration et naviguant dans Software Library – Windows 10 Servicing – All Windows 10 Updates.

    • 20/2/2019

    [SCCM] La Technical Preview 1902.2 de System Center Configuration Manager est disponible

    Microsoft vient de mettre à disposition la Technical Preview 1902.2 (5.0.8787.1000) de System Center Configuration Manager. Pour rappel, ConfigMgr a subi une refonte de sa structure pour permettre des mises à jour aisées de la même façon que l’on peut le voir avec Windows 10. Si vous souhaitez installer cette Technical Preview, vous devez installer la Technical Preview 1804 puis utiliser la fonctionnalité Updates and Servicing (nom de code Easy Setup).

     

    System Center Configuration Manager TP 1902.2 comprend les nouveautés suivantes :

    Administration

    • Intégration avec l’Analytics d’Office pour l’évaluation du client Office 365 ProPlus afin de donner une vision des périphériques qui peuvent être mis à niveau vers une version supérieure. Ceci permet de détecter des problèmes de compatibilité éventuels avec les composants additionnels d’Office ou les macros. L’intégration se fait au niveau du tableau de bord Office 365 Client Management avec une nouvelle tuile Office 365 ProPlus Upgrade Readiness pour afficher les périphériques prêts à être mis à jour ou nécessitant une attention. Les périphériques doivent avoir une connectivité à l’Office CDN pour télécharger le fichier d’évaluation des composants.
    • Amélioration des critères de succès pour les déploiements phasés (Phased Deployments). Vous pouvez maintenant spécifier un nombre de périphériques comme critère et non plus qu’un pourcentage. Ceci peut être intéressant quand la taille de la collection est variable avec un faible nombre par exemple.
    • Amélioration au mode Enhanced HTTP avec la possibilité de l’activité par site primaire ou pour le Central Administration Site (CAS) uniquement. Le paramétrage est donc applicable au site où il est activé et non plus à la hiérarchie.

     

    Gestion des mises à jour logicielles

    • Support de toutes les langues supportées pour les mises à jour du client Office 365. Les différents assistants (Création ADR, Téléchargement de mises à jour, Déploiement de mises à jour, etc.) séparent maintenant les 38 langues pour les mises à jour Windows des 103 langues pour les mises à jour du client Office 365.

     

    Plus d’informations sur : https://docs.microsoft.com/en-us/sccm/core/get-started/2019/technical-preview-1902-2

    • 20/2/2019

    [SCCM CB] Les versions obsolètes des applications téléchargées du Microsoft Store for Business ne sont pas nettoyées

    En faisant un peu de nettoyage sur une de mes plateformes de tests System Center Configuration Manager, je me suis rendu compte que près de 50 GB d’espace disque était pris par les applications que j’avais approuvé dans le Microsoft Store for Business.

    On retrouve deux modes de licences pour ces applications :

    • Hors ligne : Configuration Manager s’occupe de récupérer le contenu et le client vient le récupérer sur les points de distribution. La gestion des licences se fait via ConfigMgr et non pas via le Microsoft Store
    • En ligne : Le téléchargement est réalisé via le Microsoft Store et Windows Update. Configuration Manager ne fait que diriger le Microsoft Store. Le compte Azure AD de l’utilisateur est utilisé pour réaliser les différentes opérations de téléchargement. Dans ce cas de figure, on en retrouve aucun contenu dans la hiérarchie ConfigMgr.

    Actuellement, toutes les applications approuvées dans un mode Hors ligne sont téléchargées dans le répertoire utilisées par le connecteur Microsoft Store for Business et ce même si vous ne les avez pas créé et déployé. System Center Configuration Manager télécharge toute nouvelle version publiée par le développeur. Néanmoins, le produit n’effectue pas de nettoyage des versions obsolètes et précédentes.

    C’est pourquoi aujourd’hui après 2 ans, les quelques applications (Word, OneNote, Reader, Surface, Sway, etc.) que j’avais approuvé, prennent jusqu’à 50 GB. C’est particulièrement vrai si l’application est mise à jour fréquemment par l’éditeur/le développeur.

    En regardant dans le dossier utilisé par le connecteur, on peut voir les différentes applications et l’ensemble des versions publiées par le développeur. Par exemple pour Word :

     

    Comment nettoyer ces versions obsolètes ?

    Le travail n’est pas si simple qu’on pourrait le penser. Il ne suffit pas de prendre toutes les anciennes versions et de simplement les supprimer. En réalité, il faut vérifier si l’application que vous déployez correspond bien à la dernière version. En effet, même si ConfigMgr télécharge les nouvelles versions, il en revient à l’administrateur de créer une nouvelle application et de la déployer !

    Si vous n’avez jamais recréer l’application, alors vous déployez la première version synchronisée. Pour ce faire, vous pouvez vérifier de la façon suivante (par exemple dans mon cas pour Word), naviguez dans Software Library – Applications. Ciblez l’application puis ouvrez un des types de déploiement :

     

    Récupérez le chemin vers le contenu :

     

    Identifiez dans l’explorateur de quand date la version :

     

    Dans mon cas, la version date de 2017 et n’est clairement pas la dernière version. Deux solutions sont possibles :

    • Recréer l’application (à partir de License Information for Store Apps) et déployer la dernière version. Ceci constitue surement la solution la plus adéquate.
    • Supprimer toutes les versions exceptées celles que vous déployez ainsi que la dernière version.

     

    Pour faire ce nettoyage, vous devez pour chaque application :

    • Créer l'application en dernière version !
    • Regarder TOUS les types de déploiement pour toutes les versions de l'application que vous déployez et le chemin associé au contenu.
    • Cibler ce contenu afin de le conserver
    • Supprimer les autres dossiers du répertoire (exception faite du dossier images).

    Attention ! L’opération est à réaliser à vos risques et périls et sans support.

    Vous pouvez aussi voter pour l’UserVoice afin que le nettoyage soit nativement intégré au produit.

    • 19/2/2019

    Les résultats des certifications MS-100 et MS-101 passées en Bêta sont en ligne

    Si vous avez passé les nouvelles certifications Bêta pour Microsoft 365, Microsoft vient de mettre en ligne les résultats des certifications MS-100: Microsoft 365 Identity and Services et MS-101: Microsoft 365 Mobility and Security.

    Pour rappel, voici les différents éléments qui sont évalués :

    • MS-100: Microsoft 365 Identity and Services
      • 20-25% sur la conception et l’implémentation des services Microsoft 365 : Ceci inclut la gestion des domaines, la planification, la mise en œuvre des abonnements et tenants Microsoft 365, la gestion des abonnements et de la santé du tenant, planifier la migration des données utilisateurs.
      • 35-40% sur la gestion des identités et rôles utilisateurs : Ceci inclut la conception de la stratégie d’identité, la planification de la synchronisation avec Azure AD Connect, la gestion de la synchronisation, la gestion des identités Azure AD, et la gestion des rôles utilisateurs
      • 20-25% sur la gestion des accès et des authentifications : Ceci inclut la gestion de l’authentification, l’implémentation de l’authentification à facteurs multiples, la configuration des accès aux applications, l’implémentation des accès pour les utilisateurs externes.
      • 10-15% sur la planification des charges de travail et applications Office 365
    • MS-101: Microsoft 365 Mobility and Security
      • 30-35% sur l’implémentation des services de périphériques modernes : Ceci inclut l’implémentation de la gestion des périphériques mobiles, la gestion de la conformité de périphérique, la planification des périphériques et applications, et la planification du déploiement Windows 10.
      • 30-35% sur l’implémentation de la gestion des menaces et de la sécurité avec Microsoft 365 : Ceci inclut l’implémentation de Cloud App Security, l’implémentation de la gestion des menaces, l’implémentation de Windows Defender Advanced Threat Protection (ATP), et la gestion des rapports et alertes de sécurité
      • 35-40% sur la gestion de la conformité et de la gouvernance Microsoft 365 : Ceci inclut la configuration de la prévention de la perte de données (DLP), l’implémentation d’Azure Information Protection, la gestion de la gouvernance de données, la gestion de l’audit, et la gestion d’eDiscovery.

     

    Note : Les résultats pour les certifications MD-100, MD-101, et MS-500 sont toujours attendus.

    • 19/2/2019

    Nouvelle version (10.2.7) du Client Remote Desktop pour macOS

    Microsoft vient de publier une nouvelle application (10.2.3) du client Remote Desktop pour macOS. Cette version apporte :

    • Dans cette version, Microsoft a géré les erreurs d'encodage graphique (causées par un bug d'encodage du serveur) qui apparaissaient lors de l'utilisation du mode AVC444.
    • Ajout du support du codec AVC (420 et 444), disponible lors de la connexion aux versions actuelles de Windows 10.
    • En mode Fit to Windows, un rafraîchissement de la fenêtre se produit immédiatement après un redimensionnement pour s'assurer que le contenu est rendu au niveau correct.
    • Correction d'un bug de mise en page qui entraînait le chevauchement des en-têtes de flux pour certains utilisateurs.
    • Nettoyage de l'interface utilisateur dans la partie Préférences d'application.
    • L’interface d’ajout/édition de bureau a été nettoyée
    • De nombreux ajustements et finitions ont été effectués sur la tuile Connection Center et les vues de liste pour les postes de travail.

    Tester le client Remote Desktop pour Mac

    • 19/2/2019

    [SCCM 1806/1810] Problème de téléchargement des mises à jour logicielles sur Windows 10 avec une séquence de tâches

    NOTE : Le problème est identifié par Microsoft avec des solutions de contournement pour SCCM 1806 et SCCM 1810.

    De plus en plus d’utilisateurs rapportent (via les forums) des problèmes lors de l’installation de mises à jour logicielles pendant des séquences de tâches de déploiement de système d’exploitation (OSD) avec System Center Configuration Manager. Ce problème semble concerner Windows 10 uniquement et certaines versions spécifiques de Windows 10 (1709 notamment mais aussi 1803 ou 1809).

    Le fichier smsts.log affiche indéfiniment des messages comme suit :

    Waiting for job status notification ...
    Waiting for job status notification ...
    Waiting for job status notification ...
    Waiting for job status notification ...
    Waiting for job status notification ...

    Microsoft est en train d’identifier le problème plus en détails pour l’adresser.

    Il semble qu’utiliser la version 1802 du client System Center Configuration Manager permette d’adresser le problème et installer les mises à jour lors du déploiement de cette séquence de tâches.

    Toutes ces informations sont à prendre avec des pincettes. Si vous rencontrez un problème de ce type, n’hésitez pas à ouvrir un ticket chez Microsoft pour enrichir les informations déjà remontées.

    • 19/2/2019

    [Windows 10] Un webinar sur le packaging MSIX.

    Microsoft va tenir une série de trois webinars sur le packaging via le format MSIX. Le premier a lieu mercredi 20 février de 7h à 8h30 (heure française). Pour rappel, le format MSIX est un nouveau format standardisé lancé par Microsoft pour remplacer l’ensemble des formats de packaging existants tout en bénéficiant des avancés des différentes solutions : Click-To-Run (C2R), App-V, APPX et plus généralement du Framework d’applications universelles (UWP). Il offre donc des mécanismes de conteneurisation et les bénéfices des applications universelles avec une installation, mise à jour et désinstallation aisée sans laisser aucune trace sur le système. Il fournit aussi des mécanismes de sécurisation avancés permettant de valider l’intégrité du code exécuté. Ce format permet aussi de créer des personnalisations pour les applications packagées et de les faire perdurer au travers des différentes mises à jour de l’application.

    Pour s’enregistrer : MSIX - Packaging Desktop applications for Modernization" – Part 1 of 3

    • 18/2/2019

    [Autopilot] Le scénario de Autopilot pour périphériques existants échoue avec l’erreur MDM enroll failed: 0x80180014

    Voici une considération importante si vous souhaitez implémenter Windows Autopilot avec Microsoft Intune pour le scénario (Autopilot for existing devices) qui concerne des périphériques existants. Ce scénario implique l’utilisation de System Center Configuration Manager pour descendre une image de Windows 10 et ensuite lancer le processus Windows Autopilot via un fichier JSON présent localement sur la machine.

    Dans ce scénario, le périphérique n’est pas préalablement connu du service Windows Autopilot et de Microsoft Intune. Si vous bloquez l’enregistrement des périphériques personnels (BYOD) pour Windows 10, alors le déploiement échoue lors de l’enregistrement du périphérique dans Microsoft Intune avec l’erreur 0x80180014. En regardant le journal d’événements DeviceManagement-Enterprise-Diagnostics-Provider, vous pouvez voir des événements 71, 11, 52 et 59 avec notamment le message:

    Specific platform (e.g. Windows) or version is not supported.

    La problématique vient du fait que le périphérique n’est pas connu de Microsoft Intune. Aujourd’hui, le seul moyen de pré-enregistrer des périphériques est d’importer le périphérique comme étant un périphérique Windows Autopilot (dans Device enrollment – Windows Enrollment – Windows Autopilot devices). L’autre moyen ne concerne pour l’instant que les périphériques iOS, Android et mac OS via la fonction Corporate device identifiers (dans Device enrollment - Corporate device identifiers)

    Deux possibilités s’offrent à vous :

    • Vous souhaitez utiliser le scénario Autopilot for existing devices pour des périphériques existants équipés de Windows 10. Vous devez donc extraire le numéro de série, le hash matériel via le script suivant et l’intégrer dans la console Microsoft Intune dans Device enrollment – Windows Enrollment – Windows Autopilot devices. Ceci permettra de garder la restriction sur les périphériques BYOD.
    • Vous souhaitez utiliser le scénario Autopilot for existing devices pour des périphériques existants équipés d’une version antérieure (Windows 7, Windows 8.1, etc.). Ces versions ne permettent pas d’extraire le numéro de série et le hash matériel. Vous devez donc tout baser sur le fichier JSON et sur le fait que Microsoft Intune ne connaitra pas préalablement votre périphérique. Dans ce cas de figure, vous devez réactiver l’enregistrement des périphériques personnels Windows (BYOD) dans Device Enrollment – Enrollment Restrictions – Device Type Restrictions (Default – All Users). Validez d’abord que la plateforme Windows (MDM) est bien autorisée dans select platforms :

    Ensuite dans Configure platforms, activez l’enregistrement des périphériques personnels

    Après ces considérations et modifications, le scénario fonctionnera comme attendu.

    • 18/2/2019

    [Remote Desktop] Nouvelle version 1.0.7 du client Web Remote Desktop

    Microsoft vient de mettre à disposition une nouvelle version (1.0.7) du client Web pour Remote Desktop pour Windows Server 2016 et Windows Server 2019. Vous pouvez ajouter le client web à une infrastructure existante via les commandes PowerShell.

    Cette version apporte les éléments suivants :

    • L'accès hors ligne sur les réseaux internes est désormais supporté.
    • Amélioration du rendu sur autres navigateurs que Edge.
    • Mise en place d'une limite pour les tentatives de réessaie de récupération des abonnements/feed afin d'empêcher du DoS.
    • Correction de bugs d'accessibilité afin de permettre aux utilisateurs ayant une déficience visuelle d'utiliser le client Web.
    • Amélioration des messages d'erreur affichés à l'utilisateur pour les erreurs de feed/abonnements.
    • Ajout des raccourcis Ctrl + Alt + Fin (Windows) et fn + control + option + delete (Mac) pour invoquer Ctrl + Alt + Del en session distante.
    • Amélioration de la télémétrie en cas de crash.
    • Diverses corrections de bugs

    Cette version web est simplifiée avec les fonctionnalités essentielles telles que :

    • L’accès au bureau ou aux applications publiées via un abonnement (feed)
    • Le Single Sign-on
    • L’impression vers un fichier PDF
    • L’audio en sortie
    • Les résolutions dynamiques et le plein écran
    • Le copier/coller de texte en utilisant les raccourcis (Ctrl + C et Ctrl + V)
    • Le support des entrées par le clavier et la souris
    • La localisation en 18 langues (dont le français)

    Le client web est supporté par les principaux navigateurs :

    • Microsoft Edge
    • Internet Explorer 11
    • Google Chrome
    • Mozilla Firefox
    • Apple Safari

    Ceci permet de couvrir les principales plateformes : Windows, macOS, Chromebook et Linux.

    • 17/2/2019

    [Azure AD] Un livre blanc sur la sécurité d’Azure Active Directory

    Microsoft a rédigé un livre blanc très complet sur la sécurité d’Azure Active Directory et notamment des données associées. On retrouve des éléments sur les algorithmes de chiffrement utilisés aux différents niveaux. Ce dernier résume :

    • Les composants Azure Active Directory
    • Azure AD et les données : le modèle de la solution Azure AD, l’emplacement des données et le stockage des données à travers les composants
    • Les considérations sur la protection des données (contrôle d’accès, sécurité des données, la suppression des données d’Azure AD, etc.)
    • Les considérations pour le flux de données (Azure AD Connect, les services de provisionnement Azure AD, etc.)
    • Les considérations opérationnelles pour les données (fichiers de logs, etc.)

     

    Télécharger et lire Azure Active Directory Data Security Considerations

    • 17/2/2019

    [SCCM 1810] Publication du Correctif (KB4486457) pour Configuration Manager 1810

    L’équipe ConfigMgr a publié un correctif à destination de System Center Configuration Manager 1810. Le correctif s’applique au serveur de site, aux consoles, et aux clients pour des infrastructures qui ont installé l’une des versions avec les GUIDs suivants :

    • 699975FE-B5BA-43EB-8BE9-E2399F2F309A
    • 85475BAD-8669-4D36-8D64-C625BFE7DEDB
    • ACF6EECC-1C94-44E3-887E-D3349775816D
    • C8799F92-DC23-42A0-96FA-1862414C3967

    Note : les sites secondaires doivent être mis à jour manuellement et une procédure permet de vérifier la mise à jour effective de leurs bases de données.

    Parmi les corrections pour la première vague, on retrouve :

    • La synchronisation des mises à jour Office 365 peut échouer après la mise à jour de la de Configuration Manager, version 1810. Les messages d'erreur qui ressemblent à l'un des messages suivants sont enregistrés dans le fichier WSyncMgr.log :
      ProcessFileManifest() failed to process O365 file manifest. Caught exception: System.Net.WebException: An exception occurred during a WebClient request.
      ProcessFileManifest() failed to process O365 file manifest. Caught exception: System.UriFormatException: Invalid URI: The URI scheme is not valid.
    • Le processus de mise à niveau du point de distribution peut échouer. Cela entraîne un bloc de distribution de contenu supplémentaire vers ce serveur. Les messages d'erreur qui ressemblent à ce qui suit sont enregistrés dans le fichier distmgr.log :
      Failed to copy D:\SRVAPPS\Microsoft Configuration Manager\bin\x64\ccmperf.dll to \\{server}\SMS_DP$\sms\bin\ccmperf.dll. GLE = 32
    • Toutes les mises à jour remplacées sont supprimées et ne sont plus applicables à un client, même avant leur expiration. Ce problème se produit même si l'option Do not expire a superseded software update until the software update is superseded for 3 months est activée.
    • Des améliorations de performance ont été apportées au service de réplication des données pour les données de découverte des périphériques.
    • La deuxième phase et les phases successives d'un déploiement démarrent automatiquement après le succès de la première phase, quelles que soient les conditions de démarrage.
    • Les paramètres de comportement des délais de déploiement échelonné ne sont pas cohérents entre les propriétés de l'Assistant de Create Phased Deployment et celles des Phase Settings.
    • Lorsque vous exécutez un Servicing Plan après avoir sélectionné une catégorie de produit, le filtre n'est pas ajouté correctement.
    • Le service de contenu CMG (Cloud Management Gateway) n'est pas créé correctement lorsque le rôle CMG est ajouté après la mise à jour de Configuration Manager, version 1810.
    • L'option No deployment package est sélectionnée lorsque vous modifiez les propriétés d'une règle de déploiement automatique (ADR). Après l'application de ce rollup de mise à jour, les ADRs affectés peuvent être recréés et leurs propriétés peuvent être modifiées sans autre problème.
    • Le moteur de traitement des messages (Message Processing Engine) ne traite pas toujours les données de découverte Active Directory lorsque des attributs optionnels sont ajoutés. Les erreurs qui ressemblent à ce qui suit sont enregistrées dans le fichier SMS_Message_Processing_Engine.log :
      ERROR: Got SQL exception when handle discovery message. Exception: System.Data.SqlClient.SqlException (0x80131904): String or binary data would be truncated.~~
    • L'outil Service Connection Tool (serviceconnection.exe) échoue et vous recevez le message d'erreur suivant lorsque vous utilisez le paramètre -connect :
      ERROR: System.IO.Exception : The directory is not empty.
    • Un utilisateur ne disposant pas des droits d'administrateur complet peut ne pas être en mesure de créer ou de modifier des stratégies ATP Windows Defender, même si vous les ajoutez au rôle de sécurité de Endpoint Protection Manager.
    • Le Vérificateur d'installation des conditions préalables donne incorrectement la possibilité de réessayer une installation sur site. Si une deuxième tentative est tentée, l'administrateur doit exécuter l'outil CMUpdateReset.exe (Configuration Manager Update Reset Tool) pour résoudre le problème.
    • Le traitement des fichiers .bld par le composant SMS_Notification_Manager prend plus de temps que prévu. Cela entraîne des retards dans le traitement des données et un arriéré de fichiers dans le dossier \inboxes\bgb.box.
    • Après la mise à jour de Configuration Manager, version 1810, les providers SQL distants qui utilisent Microsoft SQL Server 2014 ou une version antérieure peuvent ne pas toujours interroger la base de données. Les erreurs qui ressemblent à ce qui suit sont enregistrées dans le fichier smsprov.log :
      *** [42000][2571][Microsoft][SQL Server Native Client 11.0][SQL Server]User <provider_server>$' does not have permission to run DBCC TRACEON.
    • Le composant Software Updates Patch Downloader effectue jusqu'à trois tentatives de mise à jour. Ces tentatives échouent et renvoient le code d'erreur 404.
    • Les mises à jour de Windows Server 2016 s'affichent de manière incorrecte lorsque vous planifiez les mises à jour d'une image du système d'exploitation Windows Server 2019.
    • La recherche du prénom, du nom de famille ou du nom complet d'un utilisateur ne renvoie aucun résultat dans la section Overview du nœud Assets and Compliance de la console Configuration Manager. Ce problème se pose même lorsque des données complètes sur la découverte sont disponibles.

     

    Parmi les corrections pour le déploiement généralisé, on retrouve :

    • Après avoir activé le support des fichiers d'installation express, le contenu peut ne pas toujours être téléchargé à partir des serveurs Windows Server Update Services (WSUS) dans les scénarios suivants :
      • Installation du client Configuration Manager via le Software Update Point
      • Installer les mises à jour directement à partir de WSUS
      • Acquisition d'une fonctionnalité à la demande (Features On Demand) ou d'un pack de langues (LP) sous Windows.
    • Après la mise à jour vers Configuration Manager, version 1810, l'enregistrement des périphériques peut écraser les valeurs de collecte de télémétrie de Windows qui étaient précédemment définies par la stratégie de groupe. Ce problème peut entraîner le basculement de la valeur entre le mode complet et le mode basique, par exemple, lorsque la stratégie de groupe est appliquée.
    • L'inventaire matériel est mis à jour pour inclure des informations sur les modules complémentaires pour Office365 et les produits Office autonomes.
    • Les plans de déploiement de Desktop Analytics montrent un plus grand nombre de périphériques dans la console Configuration Manager que dans le portail Desktop Analytics.
    • L'installation du client Configuration Manager peut échouer à cause d'une connexion réseau taxée (par exemple, cellulaire). Cela peut se produire même si les paramètres de stratégie du client le permettent. Un message d'erreur qui ressemble à ce qui suit est enregistré dans le fichier Ccmsetup.log du client :

    Client deployment cannot be fulfilled because use of metered network is not allowed.

    • L'installation du client peut échouer à cause des changements de schéma CE de SQL Server. Les erreurs qui ressemblent à ce qui suit sont enregistrées dans le fichier Ccmsetup-client.log du client :
      MSI: Setup was unable to compile Sql CE script file %windir%\CCM\DDMCache.sqlce. The error code is 80040E14.
    • Si une application est dans un état de conformité partielle et que le client voit qu'une dépendance est installée mais que l'application principale ne l'est pas et nécessite une ré application, le déploiement disponible entraîne les problèmes suivants :
      • L'application est affichée comme requise ou en retard même si le déploiement est disponible et qu'il n'y a pas de relation de remplacement.
      • Cliquer sur Installer n'a aucun effet.
    • La connexion aux services Azure échoue lorsque vous utilisez le workflow de création dans l'assistant Azure Services Wizard, même lorsque les informations d'identification correctes sont utilisées.
    • L’installeur Configuration Manager peut échouer la vérification préalable lors de l'installation ou de la mise à jour d'un serveur de site. Ce problème se produit si l'environnement utilise SQL Always On. La règle "Firewall exception for SQL Server" affiche l'état d'échec et les messages d'erreur qui ressemblent à ce qui suit sont enregistrés, même si les exceptions pare-feu correctes sont configurées :
      ERROR: Failed to access Firewall Policy Profile.

    ERROR: Failed to connect to WMI namespace on <SQL Listener>

    Firewall exception for SQL Server; Error; The Windows Firewall is enabled and does not have exceptions configured for SQL Server or the TCP ports that are required for intersite data replication.

    • Le serveur de téléchargement alternatif répertorié dans la fenêtre " pecify intranet Microsoft update service location" ne se propage pas dans les paramètres de stratégie de groupe du client.
    • Le téléchargement des mises à jour Office 365, telles que "Semi-annual Channel Version 1808 for x86 Build 10730.20264" ou "Monthly Channel Version 1812 for x64 Build 11126.20196" peut échouer. Aucune erreur n'est enregistrée dans le fichier Patchdownloader.log. Toutefois, les entrées qui ressemblent à ce qui suit sont enregistrées dans le journal AdminUI.log :
      (SMS_PackageToContent.ContentID={content_ID},PackageID='{package_ID}') does not exist or its IsContentValid returns false. We will (re)download this content.

    Pour installer la mise à jour, rendez-vous dans la partie Updates and Servicing de la console d’administration.

     

    Plus d’informations sur la KB4486457 : Update rollup for System Center Configuration Manager current branch, version 1810