Microsoft a publié un correctif à destination de System Center Virtual Machine Manager 2012 R2 et 2016 concernant un problème pour tester le failover de réplica. Le problème survient lorsque la machine virtuelle de test est supprimée d’Azure Site Recovery ou VMM après une vérification du test de failover avec succès avec Hyper-V Replication, ceci cause la suppression des autres fichiers et données répliquées (qui ne sont pas relatifs à la machine virtuelle de test). Dans ce cas, ceci engendre une indication d’état critique pour toutes les autres machines virtuelles répliquées.

Pour SCVMM 2012 R2, on retrouve un problème supplémentaire où la cmdlet générée pour l’isolation VLAN du réseau d’une machine virtuelle n’est pas correcte. Ceci est corrigé et les informations de VLAN sont récupérées à partir du sous réseau de machine virtuelle pour tous les types d’isolations réseau excepté NoIsolation.

Le correctif doit être appliquée sur l’Update Rollup 2.1 pour SCVMM 2016 et l’Update Rollup 12 pour SCVMM 2012 R2.

Télécharger :

• Hotfix for VMM 2012 R2- Test replica failover and cmdlet generated for VLAN isolation issues
• Hotfix for VMM 2016 - Test replica failover issue

Microsoft vient d’annoncer l’évolution du support de plateforme anti-logiciels malveillants. En effet, il est prévu de fournir une à deux mises à jour par an par Microsoft Update pour les systèmes d’exploitation antérieurs (Windows 8.1 et antérieurs) exécutant System Center EndPoint Protection (SCEP) et FEP.  Pour rester supporté, les clients doivent suivre les mises à jour de la plateforme. On retrouve ainsi :

• La phase de déploiement des mises à jour critiques et sécurité. Lors de l’exécution de la dernière version, vous êtes éligible pour recevoir les mises à jour critique et de sécurité.
• La phase de support technique (Uniquement). Après qu’une nouvelle version de la plateforme soit publiée, les anciennes versions (N-2) seront en support technique uniquement.

Les plateformes plus anciennes que N-2 ne seront plus du tout supporté. Ceci fait exception pour la version de base (baseline). La version de base actuelle est 4.7.

Les mises à jour de la plateforme sont disponibles dans la catégorie Critical Updates et dans le produit Forefront Endpoint Protection 2010.

Plus d’informations sur : https://blogs.technet.microsoft.com/configurationmgr/2017/03/16/anti-malware-platform-support/

Microsoft vient de publier une mise à jour (1.1.443.0) à Azure AD Connect. Azure Active Directory Connect (AADC) est un prolongement de DirSync et Azure Active Directory Sync (AAD Sync).

L’outil a été développé avec les objectifs suivants :

• Les entreprises peuvent fournir aux utilisateurs une identité hybride commune à travers les services on-premises et cloud en utilisant Active Directory connecté à Azure Active Directory
• Les administrateurs peuvent donner un accès conditionnel basé sur des ressources d’applications, des identités utilisateur et périphérique, des emplacements réseaux, et des authentifications à facteurs multiples.
• Les utilisateurs peuvent bénéficier d’une identité commune pour les comptes à travers Office 365, Intune, des applications SaaS et des applications tierces
• Les développeurs peuvent construire des applications qui utilisent un modèle d’identité commun pour s’intégrer avec les applications utilisant AD ou Azure AD.

Cette version comprend les améliorations suivantes :

• Ajout du support de la mise à jour du certificat SSL de la ferme AD FS.
• Ajout du support de la gestion d’AD FS 2016.
• Vous pouvez maintenant spécifier un compte de service géré gMSA lors de l’installation AD FS.
• Vous pouvez maintenant configurer SHA-256 comme algorithme de hachage pour le trust de tierces parties Azure AD.
• La cmdlet Get-ADSyncScheduler retourne maintenant une nouvelle propriété booléenne nommée SyncCycleInProgress. Si la valeur retournée est vrai, cela signifie qu’un cycle de synchronisation programmé est en cours.
• Le dossier de destination pour stocker l’installation Azure AD Connect et les fichiers de journalisation ont été déplacés de %localappdata%\AADConnect à %programdata%\AADConnect.

Cette version comprend les corrections suivantes :

• Correction d’un problème qui engendre l’échec de l’assistant Azure AD Connect si le nom d’affichage du connecteur Azure AD ne contient pas le domaine onmicrosoft.com initial assigné au tenant Azure AD.
• Correction d’un problème qui cause l’échec de l’assistant Azure AD Connect lors de la connexion à la base de données SQL et quand le mot de passe du compte de service de synchronisation contient des caractères spéciaux tels qu’une apostrophe, un point-virgule, et un espace.
• Correction d‘un problème qui engendre l’erreur « The dimage has an anchor that is different than the image” sur le serveur Azure AD Connect en mode staging après que vous ayez temporairement exclus un objet AD on-Premises de la synchronisation et que vous l’incluez après la synchronisation.
• Correction d’un problème qui engendre l’erreur “The object located by DN is a phantom” sur le serveur Azure AD Connect en mode staging après que vous ayez temporairement exclus un objet AD on-Premises de la synchronisation et que vous l’incluez après la synchronisation.
• Correction d’un problème où l’assistant Azure AD Connect ne met pas à jour la configuration AD FS avec les bonnes claims pour les relations après qu’un identifiant de connexion alternatif soit configuré.
• Correction d’un problème où l’assistant Azure AD Connect ne gère pas correctement les serveurs AD FS pour les comptes de service qui utilisent le format userprincipalname au lieu de sAMaccountname.
• Correction d’un problème qui engendre l’échec de l’assistant Azure AD Connect si l’authentification Pass Through est sélectionnée mais que l’enregistrement du connecteur échoue.
• Correctiond ‘un problème qui engendre l’échec de l’assistant Azure AD Connect à valider les méthodes de connexion sélectionnées lorsque la fonctionnalité Desktop SSO est activée.

Plus d’informations sur les fonctionnalités et les différences : https://msdn.microsoft.com/en-us/library/azure/dn757582.aspx

Télécharger Microsoft Azure Active Directory Connect

Microsoft vient de publier un Management Pack (10.0.8.0)) pour superviser le rôle Hyper-V sur Windows Server 2016. Ce Management Pack est supporté sur System Center 2012 Operations Manager et System Center 2016 Operations Manager. Pour rappel, System Center Operations Manager (SCOM) fait partie de la gamme System Center, il propose une supervision souple et évolutive de l’exploitation au niveau de toute l’entreprise, réduisant la complexité liée à l’administration d’un environnement informatique, et diminuant ainsi le coût d’exploitation. Ce logiciel permet une gestion complète des événements, des contrôles proactifs et des alertes, et assure une gestion des services de bout en bout. Il établit des analyses de tendance et des rapports, et contient une base de connaissances sur les applications et le système.

Cette nouvelle version apporte le support de Windows Server 2016.

Ce Management Pack supervise les événements suivants :

• Supervision des services critiques Hyper-V qui gère la partie hôte et les machines virtuelles
• Supervision des disques logiques du serveur hôte qui pourraient affecter l’état de santé des VMs
• Représentation complète de la virtualisation du serveur hôte autonome incluant les réseaux virtuels et les machines virtuelles
• La supervision des composants matériels des machines virtuelles

Lisez le guide pour obtenir les informations nécessaires à l’implémentation de ce Management Pack.

Télécharger Microsoft System Center 2016 Management Pack for Hyper-V

Microsoft a publié une Community Technology Preview 1.4 de la prochaine version de SQL Server pour Windows et Linux. Cette version est directement dédiée au Cloud pour permettre de développer des applications qui seront portées sur tous les systèmes via Docker. La version finale est attendue courant 2017. On retrouvera les principales fonctionnalités de SQL Server dont les innovations en matière de cloud hybride comme Stretch Database.

La CTP 1.4 ajoute la capacité de planifier des jobs en utilisant l’agent SQL Server sur Linux. En outre l’image de conteneur mssql-server-linux sur Docker Hub inclut maintenant les commandes sqlcmd et bcp.

En outre, on retrouve :

• Full text search est disponible sur toutes les distributions Linux
• Reprendre la reconstruction en ligne des indexes afin de reprendre une interruption de la construction des indexes ou séparer les reconstructions à travers plusieurs fenêtres de maintenance.
• Support des stratégies de rétention des tables temporels.
• Amélioration indirecte des performances de Checkpoint.
• Paramétrage Minimum Replica Commit Availability Groups pour configurer un nombre minimum de réplicas requis pour valider une transaction.
• Sur SQL pour Windows, l’encodage des hints dans SQL Server Analysis Services.

De la documentation :

• Installer sur Red Hat Enterprise Linux
• Installer sur Ubuntu Linux
• Installer sur SLES v12 SP2
• SQL Server on Linux: How? Introduction

Télécharger :

• SQL Server vNext Public Preview pour Windows

L’équipe OMS a publié un billet sur les scénarios de connectivité des solutions proposées au travers de Windows Analytics. On retrouve notamment Upgrade Readiness et Update Compliance. On apprend notamment les différents points de terminaison à autoriser :

• https://*vortex*.data.microsoft.com/
• https://*settings*.data.microsoft.com/
• https://go.microsoft.com/fwlink/?LinkID=544713
• https://compatexchange1.trafficmanager.net/CompatibilityExchangeService.svc

L’article revient aussi sur les changements à opérer sur le script de déploiement pour gérer les scénarios de :

• Connexion directe du client par Internet
• Connexion à travers un proxy WinHTTP
• Connexion par Internet en utilisant l’utilisateur connecté
• La configuration du proxy juste pour le client de télémétrie.

Pour plus d’informations, je vous invite à lire : Understanding connectivity scenarios and the deployment script

Il y a quelques mois, Microsoft a annoncé le support d’Android for Work par Microsoft Intune. Le support dans un mode hybride par Configuration Manager couplé avec Microsoft Intune est attendu pour ce début d’année 2017. Ce billet s’attachera à détailler le déploiement d’applications du Google Play pour Android for Work à partir de Microsoft Intune dans mode autonome.

Android for Work est un ensemble de fonctionnalités à destination des périphériques Android qui permettent de séparer les données personnelles des données professionnels en utilisant le principe d’un profil professionnel contenant les applications et données. Ce mode de gestion est apporté directement via le système Android à partir de la version 5.0 (Lollipop) et plus. Il offre une vraie couche d’administration directement intégrée dans le système Android. Pour les périphériques de version inférieur 4.x, la gestion Android conventionnel apportée par le portail d’entreprise est toujours présente.

Le principe d’Android for Work est d’apporter une solution d’administration qui n’affecte pas l’ensemble du périphérique. Il y a une véritable séparation entre la partie personnelle et le conteneur d’entreprise (Work Profile). Toutes les applications du profil d’entreprise sont marquées avec une valise orange pour permettre la différentiation avec les applications personnelles.

Parmi les capacités offertes par Android for Work, on retrouve :

• Le déploiement d’applications présentes dans le Google Play Store ou des applications métiers développées en interne. Dans ce scénario, les applications sont synchronisées avec Microsoft Intune. Les applications peuvent être déployée de manière obligatoire ou en libre-service. Nous verrons cette partie dans un billet dédié.
• La configuration d’applications en fournissant des valeurs de configuration par défaut pour les applications d’entreprise. Vous pouvez par exemple préconfigurer le nom d’un serveur qui sera utilisé lorsque l’utilisateur ouvre pour la première fois une application.
• Les stratégies de gestion des applications mobiles (MAM) permettant d’empêcher la fuite des données pour les applications compatibles via des stratégies de restriction (copier/coller, etc.).
• La configuration de profil email pour les applications qui le supporte (Gmail et Nine Work). Microsoft Intune fournit des modèles de configurations pour ces deux applications mais il est possible de créer des modèles personnalisés pour des applications qui supporteraient cette fonctionnalité. L’utilisation de l’accès conditionnel requiert néanmoins l’usage d’Outlook, Gmail, Nine Work ou toutes applications supportant l’authentification moderne (ADAL).
• Le déploiement de profils VPN afin de préconfigurer le périphériques en proposant deux modèles :
  • Une configuration limitée au profil d’entreprise (Work Profile). Seule les applications Android for Work peuvent utilisée la connexion.
  • Une configuration générale qui peut initier une connexion en fonction des capacités de l’application.
• Le déploiement de certificats est disponible de la même façon que pour la gestion conventionnelle excepté qu’Android for Work fournit des APIs de gestion étendue avec le déploiement silencieux pour l’utilisateur, la suppression complète lorsque le périphérique est retiré de la solution ou une expérience améliorée pour l’utilisateur.
• La configuration de profils Wi-Fi permettant notamment le retrait du profil lorsque le périphérique est retiré de la solution d’administration.

Avant de continuer, vous devez avoir configuré l’intégration avec Android for Work.

Vous pouvez ensuite vous connecter au Google Play for Work avec le compte d’entreprise que vous avez utilisé. Naviguez dans le portail en recherchant les applications souhaitées et en les approuvant.

Vous pouvez lister les applications approuvées dans le nœud Mes applications professionnelles :

Ce même portail permet dans la partie Paramètres de l’administrateur de modifier le nom de l’organisation et d’ajouter des administrateurs supplémentaires :

Enfin, le nœud Mises à jour permet d’approuver des applications dont les permissions ont été mis à jour par l’éditeur. Dans ce cas, le comportement suivant est alors observé :

• Les périphériques qui ont déjà l’ancienne version pourront toujours continuer à l’utiliser. Par contre l’application ne pourra être mises à jour. L’utilisateur gardera l’ancienne version tant que les nouvelles permissions seront acceptées. Une fois acceptées, la mise à jour s’installera automatiquement.
• Les périphériques qui n’ont pas installés l’application, n’obtiendront jamais l’application tant que les nouvelles permissions n’ont pas été acceptées.

Connectez-vous ensuite dans le portail Azure et le service Microsoft Intune. Dirigez-vous dans la partie Mobile Apps – Android for Work. Vous pouvez forcer une synchronisation du catalogue en cliquant sur Sync.

Vous retrouvez ensuite les applications listées dans la partie Mobile Apps – Apps. Ces dernières ont un type de programme d’installation : Application Android (dans Play for Work). Vous pouvez les déployer en cliquant sur Assignements.

Vous pouvez ensuite cibler des groupes d’utilisateurs ou de périphériques et choisir si vous souhaitez installer l’application de manière obligatoire ou en libre-service :

Une fois déployées, vous retrouvez les applications requises dans le nœud Work (ou Travail) du périphérique :

Les applications en libre-service sont disponibles dans le Play Store for Work (marqué avec une valise orange) en naviguant dans la partie Mes applications professionnelles :

 Note : Merci à mon camarade Alban qui m’a gentiment prêté son Android. Vous pouvez consulter son blog sur les solutions de collaboration (Office 365, etc.).

Voici le récapitulatif des annonces faites par Microsoft concernant sa plateforme Microsoft Azure.

Parmi les annonces, on retrouve notamment :

General

• Un excellent article sur les innovations réseaux dans les DataCenter Azure.
• Microsoft annonce l’arrivée de serveurs ARM dans ses datacenters. Ceci inclut des serveurs de Qualcomm et Cavium.
• Nouvelles fonctionnalités dans la Preview d’Azure Resource Policy avec la gestion des stratégies dans le portail et la création de stratégies avec des paramètres.

IaaS

• Une nouvelle série L avec 4 nouvelles tailles de machines virtuelles. Cette série est dédiée aux charges de travail qui nécessitent du stockage optimisé avec de la faible latence. Cette série est disponible dans les régions : East US 2, West US, Southeast Asia, Canada Central, Canada East, et Australia East

Azure Active Directory

• Passage prochain de la fonctionnalité Azure Active Directory du nouveau portail Azure en disponibilité générale. Microsoft est en train de finaliser cette partie et compte sur les retours de tous les utilisateurs.
• Nouvelle version 1.1.443.0 pour Azure AD Connect. Elle corrige différents problèmes et apporte un nouvelle cmdlet Get-ADSyncScheduler, le support de la mise à jour du certificat SSL de la ferme AD FS, le support d’AD FS 2016, l’utilisation de compte gMSA existant, et de l’utilisation de SHA-256. En outre, le répertoire des journaux d’installation a changé.
• Nouveau Connecteur Azure AD Application Proxy apportant l’utilisation de SH2 pour la signature. SH1 n’est alors plus utilisé. En outre, il apporte le support de Windows Server 2016, et les ports de sortie (9350, 9352, et 5671) peuvent être limités au port 443. En outre, il permet une meilleure expérience utilisateur en améliorant la reprise sur une connexion interrompue.
• Important ! Pour les développeurs qui utilisent Azure AD B2C avec les connexions Google, Google va commencer à bloquer les demandes OAuth à partir de navigateurs intégrés (Web-Views). Les applications suivantes peuvent être impactées : Xaman et MSAL, et toutes les librairies qui utilisent des vues web embarquées.

Enterprise Mobility + Security

• Etat des lieux de l’Enterprise Mobility par Brad Anderson.
• Public Preview des stratégies d’accès permettant de limiter la capacité de télécharger, imprimer, ou synchroniser dans SharePoint et OneDrive basé sur l’état du périphérique. Cette capacité couple donc Microsoft Intune et Azure Active Directory pour donner ou bloquer l’accès aux ressources basé sur l’état de conformité. Le but est bien entendu de donner un accès par navigateur uniquement aux périphériques non gérés en désactivant les capacités de téléchargement, impression et synchronisation

Azure Storage

• Preview d’Azure Storage client library pour JavaScript.

Azure SQL

• Annonce du tiers Premium RS pour Azure SQL Database. Ce tiers offre une augmentation de 4TB de la limite de stockage pour Premium P11 et P15. Premium RS a été créé pour les charges intensives en I/O. Cette capacité est pour l’instant disponible en East US 2, West US, Canada East et South East Asia (à partir du 9 Mars) et West Europe, Japan East, Australia East, Canada Central (à partir d’aujourd’hui).
• Augmentation de la limitation de la largeur de ligne PolyBase dans Azure SQL Data Warehouse. Auparavant, la limite était à 32KB et a été augmenté à 1MB. Ceci permet d’ingérer des colonnes à partir d’Azure Storage Blob ou Azure Data Lake Store dans SQL Data Warehouse.

StorSimple

• Mise à jour 4.0 pour StorSimple Série 8000 afin d’apporter les éléments suivants :
  • Heatmap-based restore.
  • Amélioration des performances pour les volumes locaux notamment dans les scénarios avec un ingestion importante de données.
  • Correction de bugs sur le support MPIO, les alertes, le remplacement de contrôleur, etc.

Azure Site Recovery

• Support de la réplication de machines virtuelles Hyper-V (gérées ou non par SCVMM) vers un compte de stockage Premium dans Azure. Le but est de répliquer les charges demandeuses en I/O vers du stockage premium.

Azure Backup

• Preview de la restauration instantanée de fichiers depuis des machines virtuelles Linux Azure.

DocumentDB

• Support de plus de fonctions d’agrégation dans DocumentDB étendant ainsi la grammaire SQL.
• Disponibilité Générale de l’API pour MongoDB dans DocumentDB.
• Annonce d’un connecteur Spark pour Document DB.

Autres services

• Azure Analysis Services ajoute le tiers Standard S0. Ce dernier propose 40 QPUs et 10 GB de RAM pour pouvoir commencer à utiliser ces services.
• Azure Analysis Service supporte les modèles de solution Power BI permettant d’étendre la capacité de 1GB de Power BI à des volumes plus important dans Azure Analysis Services
• Preview des outils Azure Data Lake pour VSCode.
• Nouvelles fonctionnalités sur Azure Data Factory.
• Azure Service Bus Premium Messaging est maintenant disponible dans les régions UK.
• Azure Data Lake Analytics et Data Lake Store est disponible en Europe.
• Cloud Foundry supporte Azure Blob Storage et Managed Disks.
• Annonce de doAzureParallel un package R léger construit sur Azure Batch.

L’arrivée prématurée de Windows Server 2016 a forcé Microsoft d’étendre le cycle de support de Windows Server 2012. En effet, la règle dit que le support principal est fourni pendant 5 ans ou deux ans après que le produit successeur (N+1). Par conséquent

Ainsi la date de fin de support principal est fixée au 9 octobre 2018, ainsi que la fin de support étendu au 10 octobre 2023.

Source : https://support.microsoft.com/en-us/help/4015079/lifecycle-dates-extended-for-windows-server-2012

Microsoft a publié une mise à jour (version 7.1.5138.0) pour le Management Pack d’Office 365. Pour rappel, System Center Operations Manager (SCOM) fait partie de la gamme System Center, il propose une supervision souple et évolutive de l’exploitation au niveau de toute l’entreprise, réduisant la complexité liée à l’administration d’un environnement informatique, et diminuant ainsi le coût d’exploitation. Ce logiciel permet une gestion complète des événements, des contrôles proactifs et des alertes, et assure une gestion des services de bout en bout. Il établit des analyses de tendance et des rapports, et contient une base de connaissances sur les applications et le système. Il est à noter que cette version supporte System Center 2012 Operations Manager SP1 ou plus.

Cette mise à jour comprend les changements suivants :

• Les SPN créés automatiquement ne sont jamais expirés.
• Correction : Aucune alerte n’est générée avec un nom de fonctionnalité identique relatifs à différents services.
• Amélioration de la logique de découverte en fonction de la dernière version d‘Office 365 (support pour les services avec des noms d’affichage similaires).
• Mis à jour du guide.

Télécharger System Center Management Pack for Office 365

Gartner vient de sortir un nouveau Magic Quadrant pour les solutions de gestion de données pour l’analyse (DMSA).  Microsoft ressort avec Oracle, Teradata, et IBM parmi les leaders du marché. Microsoft propose pour cela SQL Server 2016 et Cortana Intelligence Suite.

Plus d’informations sur : https://blogs.technet.microsoft.com/dataplatforminsider/2017/03/07/gartner-names-microsoft-a-leader-in-the-magic-quadrant-for-data-management-solutions-for-analytics-dmsa/

Microsoft a créé une série de contenu à destination des IT Pros pour Microsoft Azure. Ceci vous permet de monter en compétences sur tous les aspects dont :

• Introduction to Microsoft Azure.
• Virtual Machines.
• Virtual Networking.
• Azure Active Directory.
• Storage.
• Management & Security.

Microsoft compte enrichir ce contenu avec :

• Active Directory in a Hybrid Environment.
• Data Services.
• Web & Mobile Apps.
• PaaS Cloud Services.

Microsoft a mis à disposition un guide permettant de donner des éléments relatifs à l’évaluation de sa solution antivirale Windows Defender présente dans Windows 10 et Windows Servers 2016.

On retrouve l’évaluation des différentes fonctionnalités :

• Protection Cloud
• Protection en temps réelle
• Protection des applications potentiellement non voulues
• L’analyse des emails et de l’archivage
• La gestion du produit et des mises à jour
• La version hors ligne de Windows Defender

Télécharger Windows Defender Antivirus protection evaluation guide

Microsoft vient de lancer les certifications sur son service Azure SQL Data Warehouse (SQL DW). Outre ces certifications, ce sont les formations qui sont disponible en ligne sur edX Training. Ces derniers donne des éléments sur comment déployer, concevoir, et charger des données dans Azure SQL Data Warehouse ou SQL DW. En outre, les cours abordent la distribution de données, les indexes en mémoire compressés, PolyBase pour Big Data, etc.

Voici les modules :

• Module 1: Key Concepts of MPP (Massively Parallel Processing) Technology and SQL Data Warehouse
• Module 2: Provisioning a SQL Data Warehouse
• Module 3: Designing Tables and Loading Data
• Module 4: Integrating SQL DW in a Big Data Solution

Lors de l’utilisation de ces cours, vous pouvez obtenir un essai gratuit d’un mois à SQL Data Warehouse. Cette offre est valable jusqu’au 30 juin 2017.

Plus d’informations sur : https://azure.microsoft.com/fr-fr/blog/launching-online-training-and-certification-for-azure-sql-data-warehouse/

A peine Microsoft Teams est annoncé en disponibilité générale, Microsoft vient d’annoncer que les applications iOS et Android intégraient les mécanismes de gestion des applications mobiles (MAM).

Les applications sont disponibles sur Google Play et l’App store.

La configuration se fait via le portail Azure dans la partie Intune App Protection.

Microsoft a publié un article sur un projet OpenSource visant à automatiser le déploiement de la passerelle légère (Gateway Lightwight) de Advanced Threat Analytics (ATA) avec PowerShell. Pour rappel, Microsoft Advanced Threat Analytics est construit sur l’analyse du comportement combiné avec la détection en temps réel des tactiques, Techniques et Procédures (TTPs) des attaquants. La solution utilise donc la technologie Deep Packet Inspection (DPI) pour analyser le trafic réseau Active Directory ainsi que les informations de sécurité et d’événements (SIEM). 

Le script a été testé avec Windows Server 2012 R2 et PowerShell ISE 5.0.

Télécharger ATAGatewayDeploy

Source : https://blogs.technet.microsoft.com/enterprisemobility/2017/03/06/automate-advanced-threat-analytics-lightweight-gateway-deployment-with-powershell/

Microsoft a mis à disposition l’Update Rollup 12 de Windows Azure Pack (WAP) Websites V2. Notez que le Windows Azure Pack Web Sites v2 entre en support étendu à partir du 12 juillet 2017.

Parmi les changements importants, on retrouve :

• Si le système d’exploitation de base est Windows Server 2012 R2, vous devez installer l’Update Rollup Windows Avril 2014. S’il n’est pas installé, le NET Framework 4.6 et les packages cibles : MS Build Tools 2015, Visual C++ 2015 Redistribution Packages ne seront pas installés.
• Dans le cas où plusieurs sites sont exécutés sous la même application pool identity et exécute une application PHP qui utilise Zend Opcache, le premier site demandé, répondra aux demandes. Toutes les autres applications, répondront avec une réponse 500. Ce problème survient dans Zend Opcache. Pour corriger ce problème, déployez un php.ini personnalisés et désactive “zend_extension=php_opcache.dll.”.

On retrouve la mise à jour des frameworks suivants :

• .NET Framework 4.6.2 Developer Pack (KB3151934)
• .NET Framework 4.6.1 Developer Pack (KB3105179)
• PHP 5.3.29
• PHP 5.5.38
• PHP 5.6.24
• PHP 7.0.9 x86 and x64
• Python 2.7 updated to 2.7.8
• Git updated to 2.8.1
• MSODBC13 (Microsoft ODBC Driver 13 for SQL Server) updates to 13.0.811.168

Parmi les problèmes remontés, on retrouve :

• Amélioration des perforamnces du moteur de contrôle qui calcule les métriques de supervision dans Windows Azure Pack Web Sites.
• Pas de capacité de dumper ou nettoyer le Data Service Cache. Cette mise à jour ajoute le support de PowerShell en utilisant Get-WebSitesDataServiceCache et Clear-WebSitesDataServiceCache.
• Tous les sites dans un abonnement renvoient "503 Service Unavailable" quand les sites utilisent plus de 2,147,483,648 bytes de stockage.
• Pas de support pour le changement du CloudAdminCredentials dans la console de gestion Cloud Web.
• Correction d’AutoHeal dans la cmdlet Set-WebSitesSiteCOnfig
• Les certificats uploadés au tenant ne sont pas déployés au Front End et roles Worker quand ils exécutent un environnement joint à Active Directory.
• Les Webjobs qui utilisent L’authentification SQL intégrée ne se connecte pas à SQL quand ils s’exécutent sous un compte de domaine.
• Les sites déployés dans un environnement Windows Azure Pack Web Sites joint au domaine ne s’étendent pas aux instances réservées.
• Améliorer la journalisation d’erreur pour les vérifications de disponibilité en excluant les erreurs transitoires.
• Vous ne pouvez paramétrer les versions PHP à OFF ; ils sont toujours configurés à la version 5.4.
• Quand vous mettez à jour depuis l’Update Rollup 6, MSDeploy à travers SCM supprime les fichiers dans les environnements qui ont été mis à niveau.
• Quand vous essayez de créer un package d’installation hors ligne, l’opération échoue avec le message d’erreur « Path too long »
• Amélioration faite à l’implémentation des quotas de stockage.
• Les sites qui s’exécutent dans des workers partagés ne peuvent charger les certificats pour être utilisés dans les applications.
• Comme un administrateur de service, vous ne pouvez mettre à jour les stacks d’application core sans Windows Azure Pack WebSites.
• L’arrêt d’un site web peut engendrer l’arrêt du site SCM.
• Une mise à niveau depuis l’Update Rollup 4 et 6 Windows Azure Pack Web Sites v2 engendre l’ensemble des sites à renvoyer 404 not found.
• Vous ne pouvez déployer des applications ASP.NET Core.

Télécharger Windows Azure Pack Websites V2 Update Rollup 12

Les projets Windows 10 se suivent et l’engouement auprès des entreprises est bien présent. Les prérequis de ces projets peuvent être divers et variés mais le besoin d’intégrer nativement certaines applications universelles ou modernes est une certitude. L’objectif de ce billet est de vous montrer comment sideloader ou précharger des applications universelles dans le but qu’elles soient disponibles à tous utilisateurs qui se connectent sur le système.

J’en viens à faire cet article car cela constitue une question récurrente sur les forums. Il faut savoir qu’il n’est pas possible d’installer une application universelle/moderne par le modèle d’application via une séquence de tâches. En effet, l’étape Install Applications ne permet pas de sélectionner des applications dont le type de déploiement est basé sur la technologie Windows Application Package (*.appx, *.appxbundle).

Lorsque vous avez fait face à ce premier revers, vous allez vite penser à la cmdlet PowerShell intégrée Add-AppxProvisionedPackage (avec le paramètre Online, etc.). Cette dernière permet très facilement de précharger des applications sur le système en cours d’exécution. Si vous avez fait des essais sur un système en cours d’exécution, vous ne rencontrerez pas de problèmes. Par contre si vous exécutez cette dernière au cours du déploiement d’un nouveau système d’exploitation, l’exécution renverra une erreur Ressource not found. Cette erreur est levée bien que vous l’exécutiez dans un mode où le système d’exploitation est en cours d’exécution (puisque vous avez passé l’étape Setup Windows and ConfigMgr).

Le problème vient du fait que la commande requiert qu’un premier utilisateur se soit connecté sur le système. Ceci n’est pas le cas dans une séquence de tâches de déploiement d’un nouveau système d’exploitation. Vous devez donc déployer l’application après le déploiement, ce qui n’est pas très pratique dans certains scénarios.

Il existe une dernière option. Il faut utiliser DISM et intégrer l’application après que le système ait été appliqué sur le disque et avant que le système ait démarré une première fois.

La première étape consiste à créer un fichier bat (par exemple : EnableSideLoadlingApps.bat) afin d'activer le sideloading d'applications :

Reg Load HKLM\TempImg C:\Windows\System32\Config\SOFTWARE 
REG Add HKLM\TempImg\Policies\Microsoft\Windows\Appx /t REG_DWORD /f /v "AllowAllTrustedApps" /d "1"
Reg UNLoad HKLM\TempImg

Vous devez ensuite créer un package contenant le fichier bat.

Placez ensuite une tâche Run Command Line placée après l’application des drivers et avant l’étape Setup Windows and ConfigMgr. Renseignez le fichier bat et le package.

(???)

Vous devez ensuite ajouter une autre tâche Run Command Line placée après celle que nous venons d'ajouter et avant l’étape Setup Windows and ConfigMgr par exemple. Vous devez associer à cette tâche le package contenant l’application, ses dépendances et la licence. La commande suivante permet de charger une application, deux dépendances et la licence associée :

DISM /Image:C:\ /Add-ProvisionedAppxPackage /PackagePath:App1.AppxBundle /DependencyPackagePath:Dependency1.appx /DependencyPackagePath:Dependency2.appx /LicensePath:License.xml

Bon déploiement !

A la manière de Windows 10 et Windows Server 2016, Microsoft vient de créer une page unifiée pour lister l’historique des mises à jour concernant les systèmes précédents. Le but est d’obtenir une vision unique de toutes les améliorations et correctifs publiés par Microsoft sur les systèmes concernés.

On retrouve des pages pour les produits suivants :

• Windows 8.1 and Windows Server 2012 R2
• Windows Server 2012
• Windows 7 SP1 and Windows Server 2008 R2 SP1

Microsoft a lancé un sondage pour connaître les investissements à réaliser sur Windows Server vNext et spécialement la fonctionnalité des serveurs de fichiers. Le but est de comprendre la taille des ensembles de données.

Répondre au sondage

L’équipe du support Intune a publié un billet sur les permissions des applications Android for Work. L’administrateur doit valider les permissions des applications Android for Work pour l’utilisateur. L’utilisateur n’est alors pas sollicité pour les permissions des applications lors de l’installation.

Le problème survient lorsque le développeur publie une nouvelle version de l’application avec des permissions additionnelles. Dans ce cas, les permissions ne sont pas automatiquement acceptées lorsque vous avez approuvé l’application.

Le comportement suivant est alors observé :

• Les périphériques qui ont déjà l’ancienne version pourront toujours continuer à l’utiliser. Par contre l’application ne pourra être mises à jour. L’utilisateur gardera l’ancienne version tant que les nouvelles permissions seront acceptées. Une fois acceptées, la mise à jour s’installera automatiquement.
• Les périphériques qui n’ont pas installés l’application, n’obtiendront jamais l’application tant que les nouvelles permissions n’ont pas été acceptées.

Vous devez alors vous connecter au Google Play for Work afin d’approuver les applications dans l’onglet Updates.

Microsoft travaille sur le scénario pour améliorer le comportement.

Source : https://blogs.technet.microsoft.com/intunesupport/2017/03/03/checking-for-updated-app-permissions-for-android-for-work-apps/

Microsoft a publié un outil d’analyse à la migration vers la solution d’administration de périphériques mobiles (MDM) Microsoft Intune. MDM Migration Analysis Tool permet notamment d’évaluer l’effort nécessaire pour passer du modèle de stratégie de groupe (GPO) vers la gestion moderne par MDM.

MMAT effectue un inventaire des paramètres de stratégies de groupe et trouve les paramètres MDM associé à partir des documentations MSDN, etc. L’outil s’exécute en regardant les stratégies appliquées à l’ordinateur et à l’utilisateur courant.
Il faudra pour cela :

• Installer les outils d’administration à distance (RSAT)
• Copier le contenu de répertoire d’installation qui contient les scripts PowerShell, EXE, XML, etc.
• Vous pouvez ensuite invoquer le script : Invoke-MdmMigrationAnalysisTool.ps1

Télécharger MDM Migration Analysis Tool

Microsoft vient d’annoncer la Public Preview d’une nouvelle fonctionnalité proposée par l’accès conditionnel (Conditional Access) dans Azure Active Directory. Il devient possible de créer des stratégies d’accès permettant de limiter la capacité de télécharger, imprimer, ou synchroniser dans SharePoint et OneDrive basé sur l’état du périphérique. Cette capacité couple donc Microsoft Intune et Azure Active Directory pour donner ou bloquer l’accès aux ressources basé sur l’état de conformité. Le but est bien entendu de donner un accès par navigateur uniquement aux périphériques non gérés en désactivant les capacités de téléchargement, impression et synchronisation.

Plus d’informations sur : https://blogs.technet.microsoft.com/enterprisemobility/2017/03/09/conditional-access-limited-access-policies-for-sharepoint-are-in-public-preview/

Il y a quelques mois, Microsoft a annoncé le support d’Android for Work par Microsoft Intune. Le support dans un mode hybride par Configuration Manager couplé avec Microsoft Intune est attendu pour ce début d’année 2017. Ce billet s’attachera à détailler la configuration de Microsoft Intune dans mode autonome. Android for Work est un ensemble de fonctionnalités à destination des périphériques Android qui permettent de séparer les données personnelles des données professionnels en utilisant le principe d’un profil professionnel contenant les applications et données. Ce mode de gestion est apporté directement via le système Android à partir de la version 5.0 (Lollipop) et plus. Il offre une vraie couche d’administration directement intégrée dans le système Android. Pour les périphériques de version inférieur 4.x, la gestion Android conventionnel apportée par le portail d’entreprise est toujours présente.

Le principe d’Android for Work est d’apporter une solution d’administration qui n’affecte pas l’ensemble du périphérique. Il y a une véritable séparation entre la partie personnelle et le conteneur d’entreprise (Work Profile). Toutes les applications du profil d’entreprise sont marquées avec une valise orange pour permettre la différentiation avec les applications personnelles.

Parmi les capacités offertes par Android for Work, on retrouve :

• Le déploiement d’applications présentes dans le Google Play Store ou des applications métiers développées en interne. Dans ce scénario, les applications sont synchronisées avec Microsoft Intune. Les applications peuvent être déployée de manière obligatoire ou en libre-service. Nous verrons cette partie dans un billet dédié.
• La configuration d’applications en fournissant des valeurs de configuration par défaut pour les applications d’entreprise. Vous pouvez par exemple préconfigurer le nom d’un serveur qui sera utilisé lorsque l’utilisateur ouvre pour la première fois une application.
• Les stratégies de gestion des applications mobiles (MAM) permettant d’empêcher la fuite des données pour les applications compatibles via des stratégies de restriction (copier/coller, etc.).
• La configuration de profil email pour les applications qui le supporte (Gmail et Nine Work). Microsoft Intune fournit des modèles de configurations pour ces deux applications mais il est possible de créer des modèles personnalisés pour des applications qui supporteraient cette fonctionnalité. L’utilisation de l’accès conditionnel requiert néanmoins l’usage d’Outlook, Gmail, Nine Work ou toutes applications supportant l’authentification moderne (ADAL).
• Le déploiement de profils VPN afin de préconfigurer le périphériques en proposant deux modèles :
  • Une configuration limitée au profil d’entreprise (Work Profile). Seule les applications Android for Work peuvent utilisée la connexion.
  • Une configuration générale qui peut initier une connexion en fonction des capacités de l’application.
• Le déploiement de certificats est disponible de la même façon que pour la gestion conventionnelle excepté qu’Android for Work fournit des APIs de gestion étendue avec le déploiement silencieux pour l’utilisateur, la suppression complète lorsque le périphérique est retiré de la solution ou une expérience améliorée pour l’utilisateur.
• La configuration de profils Wi-Fi permettant notamment le retrait du profil lorsque le périphérique est retiré de la solution d’administration.

Configuration d’Android for Work

Nous assumerons que votre environnement est déjà configuré (autorité de gestion déjà paramétré, comptes utilisateurs créés, etc.).

 Connectez-vous au portail Azure avec un compte administrateur. Naviguez dans Admin – Mobile Device Management – Android for Work. Cliquez sur Configure pour lancer la configuration. Note : En fonction du navigateur, il se peut que vous deviez autoriser l'ouverture d'une popup.

Cette opération ouvre la page de création d’une organisation sur le Google Play pour Android for Work. Cliquez sur Connexion et connectez-vous avec un compte Gmail d’entreprise ou créé pour l’occasion. Ce dernier sera associé à toutes les tâches d’administration liées à Android for Work. Il sera notamment utilisé pour aller gérer, acquérir ou publier des applications dans la console Play for Work.
Choisissez ensuite Premiers Pas. Entrez le nom de l’organisation choisi et acceptez le contrat de licences.

Confirmez et finalisez l’inscription.

Une fois revenu sur le portail, vous pouvez observer la liaison. Vous pouvez effectuer une synchronisation manuelle lorsque vous avez sélectionner les applications dans le Google Play’s Android for Work.

En outre, vous devez choisir les paramètres d’enregistrement entre :

• Gérer tous les périphériques comme des appareils Android (sans Android for Work).
• Gérer les périphériques prenant en charge Android for Work : Ce mode de gestion est celui à choisir lorsque vous souhaitez généraliser la solution en production.
• Gérer les périphériques prenant en charge Android for Work et uniquement les utilisateurs spécifiés : Ce mode offre la flexibilité de tester la fonctionnalité sur un nombre limité d’utilisateurs.

Il faudra sélectionner une des deux dernières options pour permettre l’enregistrement en mode Android for Work

Enregistrement d’un périphérique avec Android for Work

Commencez par télécharger le portail d’entreprise sur le Google Play Store. Ouvrez l’application et procédez à la connexion :

Une fois la connexion effectuée, vous devez configurer Android for Work et enregistrer le périphérique dans la solution d’administration. Cliquez sur Commencer.

Les écrans qui suivent expliquent à l’utilisateur l’intérêt de créer un profil professionnel, les informations relatives au respect de la vie privée, et les grandes étapes qui vont suivre.

Les étapes qui suivent correspondent à l’installation et la configuration d’Android for Work sur le périphérique avec les conditions d’utilisation, l’autorisation de gestion du profil Android for Work par le portail d’entreprise, et la validation des informations relatives aux capacités de l’administrateur

Une fois effectué, la configuration du profil Android for Work intervient.

Vous arrivez ensuite sur un écran qui vous incite à ouvrir le portail d’entreprise qui comporte un badge professionnel (attaché case ??). Vous retrouvez pour cela un dossier Travail ou Work comprenant les applications d’entreprise.

Ouvrez le portail d’entreprise avec l’icône Android for Work et connectez-vous avec l’identifiant de l’utilisateur. L’application du portail d’entreprise vous signale maintenant que la configuration du profil professionnel est faite. Il ne reste plus que l’enregistrement du périphérique et la conformité.

Une fois terminé, le portail d’entreprise valide l’ensemble des éléments.

En ouvrant les paramètres du téléphone et en naviguant dans les comptes, on peut observer qu’un compte géré et un compte professionnel ont été créés.

Votre périphérique est enfin prêt à recevoir des stratégies Android for Work ou des applications via le Google Play’s Android for Work.

Note : Merci à mon camarade Alban qui m’a gentiment prêté son Android. Vous pouvez consulter son blog sur les solutions de collaboration (Office 365, etc.).

Je vous parlais il y a quelques semaines de la dépréciation d’une des URLs utilisés pour l’enregistrement des périphériques. L’équipe du support Microsoft Intune revient avec un article détaillant quels sont les alias CNAME utilisé pour la découverte automatique lors de l’enregistrement.

On retrouve les indications suivantes :

• Enregistrement des périphériques Windows : EnterpriseEnrollment.company_domain.com ->  EnterpriseEnrollment-s.manage.microsoft.com
• Enregistrement des périphériques iOS, Android et Windows dans Azure Active Directory : EnterpriseRegistration.company_domain.com ->  EnterpriseRegistration.windows.net

Plus d’informations sur le billet : Which CNAMEs to use for Auto-discovery during MDM Enrollment