L’utilisation de l'annuaire d’entreprise Azure Active Directory a de nombreux avantages notamment dans des scénarios de mobilité :

• Enregistrement automatique à la solution de gestion de périphériques mobiles (MDM) pour certaines éditions de Windows 10
• Single Sign-On sur des applications, sites et ressources d’entreprise protégées par Azure Active Directory. Cela peut être des ressources Cloud (Office 365, etc.) ou on-premises via Azure AD Application Proxy.
• L’accès conditionnel à des applications cloud (Office 365) ou On-Premises.

Afin de pouvoir enregistrer un périphérique automatiquement dans la solution de gestion de périphériques mobiles (Microsoft Intune par exemple), il vous faut souscrire à Microsoft Azure Active Directory Premium. Ce dernier peut être disponible au travers de l’Enterprise Mobility Suite (EMS) ou de manière autonome.

Note : Vos abonnements Microsoft Azure et Microsoft Intune doivent être sur le même tenant.

Comment cela fonctionne ?

En réalité, Microsoft Azure est un ensemble de microservices qui dialoguent entre eux pour opérer différentes tâches. On retrouve ainsi un microservice appelé Azure Active Directory Device Registration qui est en charge de provisionner le périphérique en créant une entité. Cette entité représente le périphérique et possède différents attributs qui peuvent être notamment utilisés pour l’accès conditionnel à des services. Ces attributs peuvent être mis à jour avec une solution de gestion de périphériques mobiles telle que Microsoft Intune. Aujourd’hui Azure Active Directory Device Registration supporte iOS, Android et les périphériques Windows.

Jusqu’à maintenant quand un périphérique était enregistré dans Microsoft Intune, une entité était automatiquement créée dans Azure Active Directory. L’inverse n’était pas vrai. Avec Windows 10, l’utilisateur se voit demander si son périphérique est personnel ou d’entreprise. Dans ce cas, il peut utiliser son compte d’organisation pour se connecter. Cette opération procède automatiquement à l’enregistrement du périphérique via AAD Device Registration dans Azure Active Directory. Azure Active Directory peut ensuite renvoyer les informations permettant au périphérique de s’enregistrer automatiquement dans une solution de MDM telle que Microsoft Intune.

Prérequis Microsoft Intune

Au-delà de disposer d’un abonnement Microsoft Intune en cours de validité, il existe d’autres prérequis :

• Avoir activé l’autorité de gestion des appareils mobiles pour Microsoft Intune ou en mode hybride avec System Center Configuration Manager.
• Si vous utilisez un nom de domaine d’entreprise, vous devez créer deux enregistrements public de type CNAMEpointant sur des adresses spécifiques :
  • enterpriseenrollment.company_domain.com vers manage.microsoft.com
  • enterpriseregistration.company_domain.com vers enterpriseregistration.windows.net
• Avoir attribué des licences Microsoft Intune et Azure Active Directory Premium aux utilisateurs qui s’enregistreront.

Autoriser l’enregistrement dans Azure Active Directory

Afin d’autoriser l’enregistrement des périphériques dans Azure Active Directory, vous devez utiliser le portail Microsoft Azure. A l’heure où j’écris ces lignes, Microsoft prépare le nouveau portail qui est actuellement proposé en Preview. On y retrouve une partie des services mais Azure Active Directory n’y a pas encore été intégré. Il vous faudra donc utiliser l’ancien portail de Microsoft Azure.

Dirigez-vous dans la partie Active Directory et sélectionnez l’annuaire AAD. Cliquez ensuite sur Configure. Cette page permet de configurer toutes les options relatives à votre annuaire Azure Active Directory comme le nom de l’organisation ou encore la personnalisation de la page de connexion.

Descendez au niveau de la partie Devices où on retrouve différentes options

• Le nombre maximum de périphériques pouvant être joint par utilisateur. La limite est fixée à 20 par défaut. Notez que dans Microsoft Intune, la limite de 5 périphériques par utilisateur est fixée et ne peut être dépassée à ce jour.
• Require Multi-Factor Auth to Join Devices : permet de forcer l’authentification à facteurs multiples (téléphone, SMS, etc.) pour permettre la jointure du périphérique au domaine Azure Active Directory. Cette option doit être configurée que si vous avez correctement paramétré l’authentification à facteurs multiples sur cette même page.
• L’option qui nous intéresse est Users may Azure AD Join Devices. C’est en passant cette option à All ou Selected (permet de restreindre à un groupe) que vous pourrez autoriser les utilisateurs à faire l’opération de jointure à l’annuaire AAD.

Une fois configuré, ce n’est pas fini puisque l’enregistrement automatique dans la solution de MDM n’est pas activé par défaut.

Configurer l’enregistrement automatique dans une solution de gestion de périphériques mobiles

De la même façon, cette configuration à lieu dans l’ancien portail de Microsoft Azure dans le même espace Active Directory. Cliquez ensuite sur Applications et choisissez Microsoft Intune :

Vous pouvez activer la jointure pour tous les utilisateurs ou pour un nombre sélectionné de personnes :

Vous pouvez aussi définir les options relatives :

• MDM Enrollment URL: L’URL est utilisée pour enregistrer les périphériques Windows 10 à la solution d’administration Microsoft Intune. Cette opération est faite automatiquement lorsque l’utilisateur joint son périphérique à Azure AD si l’enregistrement automatique a été activé pour lui. L’URL est préconfigurée pour le besoin : https://manage.Microsoft.com/enrollmentserver/discovery.svc

• MDM Terms of Use URL : L’URL est vide pour l’instant car la fonctionnalité n’est pas encore disponible. Cette dernière permettra de configurer des termes d’usages personnalisés qui seront vus par l’utilisateur lors du processus d’enregistrement
• MDM Compliance URL: Quand un périphérique n’est pas conforme, le moteur de contrôle d’accès conditionnel d’Azure AD bloquera les accès des utilisateurs vers des applications qui requièrent la conformité. Dans ce scénario, un message de refus sera affiché à l’utilisateur et un lien permettra de comprendre la raison du refus. C’est cet URL qui est utilisé. L’URL est préconfigurée pour le besoin : https://portal.manage.microsoft.com/?portalAction=Compliance

Jointure d’un périphérique à l’annuaire Azure Active Directory et enregistrement automatique dans Microsoft Intune

La procédure est simple ! Lorsque l’utilisateur démarre sa machine pour la première fois, il obtient un écran de configuration. Vous pouvez choisir un mode Express ou personnalisé. L’OOBE vous demande ensuite si c’est un périphérique personnel ou d’entreprise :

En choisissant My Organization, vous pouvez choisir de joindre un domaine ou Azure AD.

Vous devez ensuite entrer un compte d’entreprise référencé dans Azure Active Directory. Ce dernier a pu être créé par l'administrateur manuellement ou simple synchronisé via Azure AD Sync :

Une fois authentifié, le système associe la machine à l’annuaire Azure Active Directory en reprenant le principe du Workplace Join.

Par la suite, la stratégie d’entreprise vous impose la protection du périphérique avec un code PIN. Cette dernière peut vous demander de mettre en œuvre l’authentification à facteurs multiples :

L’utilisateur arrive sur la page de connexion où il peut se connecter :

En allant dans les paramètres du compte, on voit que le compte est référencé en AzureAD\<USER> :

Vous pouvez aussi joindre Azure AD après coup via l’application Settings – System

Vous pouvez ensuite observer les périphériques associés à un utilisateur depuis l’interface du portail Azure. Cliquez sur l’utilisateur en question puis Appareils :

Le périphérique apparaît aussi dans l’interface Microsoft Intune :

Notez que le périphérique apparaît avec un statut Entreprise. Ce n’est pas le cas lorsqu’un périphérique est enregistré dans la solution Microsoft Intune sans passer par l’enregistrement automatique via Azure Active Directory. Dans ce cas, le périphérique est marqué avec le statut Personal.

Si vous souhaitez obtenir plus d’informations, voici quelques articles sur le sujet :

• Managing Azure Active Directory joined devices with Microsoft Intune
• Azure AD on Windows 10 Personal Devices
• Azure AD Join on Windows 10 devices

Microsoft vient de republier une nouvelle version de Microsoft Deployment Toolkit (MDT) 2013 Update 1 en version v6.3.8298. La version précédente (v6.3.8290) avait été publiée un peu trop rapidement et comportait de nombreux bugs. Elle n’est d’ailleurs plus supportée par Microsoft et doit être remplacée par cette nouvelle Build chez les clients qui l’ont déjà implémenté.

Cette version corrige :

• Problèmes de partitionnement de disques :
  • La mise à jour vers MDT 2013 Update 1 ne fonctionne pas pour les systèmes UEFI
  • Une partition supplémentaire non nécessaire est créée sur les systèmes UEFI et BIOS
  • Vous ne pouvez pas spécifier une configuration de partition personnalisée contenant une partition de type "récupération" nécessaire pour les systèmes UEFI
  • LTIApply renvoie l’erreur "There is not enough space on the disk"
  • WINRE_DRIVE_SIZE de ZTIDiskpart.wsf est trop petite
• Plusieurs problèmes de traitement XML :
  • Les bundles d’applications renvoient l’erreur 87
  • Le changement des options régionales du clavier dans l’assistant de déploiement renvoie une erreur
  • Le déploiement échoue à cause d’erreurs dans le fichier unattend.xml durant la phase OobeSystem
  • ZTIPatches renvoie l’erreur "Object required (424)"
  • Le nettoyage après la capature de l’image ne supprime pas l’entrée LTIBoostrap

• Plusieurs problèmes avec la séquence de tâches de mise à jour de Windows 10 :
  • Le processus de mise à jour termine avec des avertissements "Unable to create WebService class"
  • La séquence de tâches de mise à jour est disponible à partir de Windows PE
  • Après la mise à jour un écran bleu System_License_Violation apparaît

• Les applications avec un fichier de commande (.cmd) utilisent le répertoire système
• L’application de fichiers d’image coupés ne fonctionne pas

Les problèmes suivants ne sont toujours pas corrigés :

• Les adresses IP statiques ne sont pas restaurées lors d’un déploiement via un média
• Les adresses IP statiques ne sont pas configurées par l’assistant de configuration de la carte réseau (Network Adapter Configuration Wizard)
• L’assistant UDI ne gère pas correctement le compte utilisateur pour la jointure au domaine
• Impossible de parcourir le chemin de données utilisateurs sur la page User Data de l’assistant de déploiement LTI
• Le script ZTIWinRE.wsf et la variable PrepareWinRE ne fonctionne pas correctement
• Les packs de langue Windows 10 peuvent ne pas s’installer sur le scénario Lite Touch
• La supervision MDT continue d’afficher que la séquence de tâches est en cours après la mise à jour de Windows 10 jusqu’à qu’un utilisateur se connecte

Plus d’informations sur : http://blogs.technet.com/b/msdeployment/archive/2015/09/15/mdt-2013-update-1-re-released-build-8298.aspx

Pour rappel, voici les fonctionnalités de MDT 2013 Update 1 :

• Support de Windows Assessment and Deployment Kit (ADK) pour Windows 10
• Support du déploiement et de la mise à jour de Windows 10
• Support de l’intégration avec System Center 2012 R2 Configuration Manager SP1 avec Windows 10 ADK.
• Support des éditions Enterprise LTSB et Education de Windows 10
• Support des dépendences et bundles pour les applications modernes (.appx)
• Support du fractionnement d’un fichier WIM dans les scénarios média UEFI
• Changement pour utiliser DISM pour le processus d’imaging au lieu de d’imagex
• Révision complète de la logique de version Windows pour inclure les changements de comparaison de string à integer et une nouvelle fonction ZTIUtility (GetMajorMinorVersion)
• Révisions mineurs de l’interface de la console Deployment Workbench
• Révision des listes de timezones, régions et langues de l’assistant de déploiement
• Des correctifs donnés par les MVPs pour Windows Update, les cmdlets PowerShell et la gestion des mots de passe
• Ajout de paramétrages OOBE manquants au fichier Unattend.xml
• Changement de la résolution d’écran par défaut dans le fichier Unattend.xml pour s’adapter automatiquement

Télécharger Microsoft Deployment Toolkit 2013 Update 1

L’équipe OpsMgr vient de publier un billet concernant System Center 2012 Operations Manager et sa console Web. Cette dernière utilise Silverlight et lors de la première exécution, vous recevez généralement le message :

The Operations Manager web console requires some additional configuration to be fully functional. Without this configuration, many types of views will not be available, Refresh this page after completing the configuration.

Habituellement, vous cliquez sur Configure pour télécharger une extension de configuration afin d’installer un certificat proposé par Microsoft. Cependant dans certains cas, le même message est généré par la console Web même si vous exécutez la configuration à plusieurs reprises.

Pour corriger le problème, vous devez vérifier que les clés suivantes sont créées :

Ordinateurs 32-bit

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Silverlight\AllowElevatedTrustAppsInBrowser avec une valeur à 1
•  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Silverlight\AllowLaunchOfElevatedTrustApps avec une valeur à 1

Ordinateurs 64-bit

• HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Silverlight\AllowElevatedTrustAppsInBrowser avec une valeur à 1
• HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Silverlight\AllowLaunchOfElevatedTrustApps avec une valeur à 1

Plus d’informations sur : http://blogs.technet.com/b/momteam/archive/2015/08/12/support-tip-opsmgr-web-console-generates-the-operations-manager-web-console-requires-some-additional-configuration-to-be-fully-functional.aspx

Microsoft vient d’annoncer une initiative mondiale pour Microsoft Azure. Le Microsoft Azure Tour est une journée technique gratuite à destination des développeurs et des ITs. 12 sessions techniques seront délivrées en novembre sur la plateforme Azure.

Pour s’inscrire, rendez-vous sur : https://azure.microsoft.com/en-us/campaigns/azuretour/

Microsoft vient de publier la version 3.0 de l’extension SCAP pour System Center Configuration Manager. Security Content Automation Protocol (SCAP) fournit une méthode de gestion des standards afin de mesurer la conformité, la vulnérabilité. SCAP est une suite de certaines normes ouvertes qui, ensemble, offrent une méthode uniforme d'analyser les systèmes informatiques et automatiquement identifier, mesurer et évaluer les problèmes potentiels de sécurité. SCAP énumère les vulnérabilités des logiciels, des problèmes de configuration de sécurité, et les noms de produits sur des systèmes informatiques. SCAP prévoit également des mécanismes pour mesurer et classer (score) des résultats d'analyse pour évaluer l'impact des problèmes de sécurité découverts. SCAP est une initiative gouvernementale du NIST (National Institute of Standard and Technology) afin de construire le FDCC (Federal Desktop Core Configuration). Cette extension permet donc d’utiliser la fonctionnalité gestion des configurations desirées de SCCM pour scanner les ordinateurs et documenter leurs conformités avec le standard FDCC

Cette version comprend les changements suivants :

• SCCM 2012 SP1/SP2/R2/R2SP1
• Support de SCAP Version 1.2 avec une rétrocompatibilité avec la version 1.0 et 1.1
  
  • Supports Extensible Configuration Checklist Description Format (XCCDF) version 1.2.
  • Supports Open Vulnerability and Assessment Language (OVAL) versions up to 5.10.
  • Supports generating Asset Reporting Format (ARF) 1.1 reports.
  • Supports Common Platform Enumeration (CPE) 2.3
  • Supports Common Vulnerabilities and Exposures (CVE)
  • Supports Common Configuration Enumeration (CCE) version 5
  • Supports USGCB Internet Explorer 8, USGCB Windows 7 and USGCB Windows 7 Firewall.
• Allows selection of SCAP Source Data Streams, and XCCDF benchmarks and profiles for conversion.
• Allows selection of a standalone OVAL file or an OVAL file paired with an OVAL external variable file.
• Supports generating the Cyberscope Lightweight Asset Summary Results (LASR) report.
• Supports generating SCAP reports based on collections in addition to reports based on a single machine.
• Allows conversion to multiple Configuration Baselines from a single source to achieve better load-and-balancing on the client during evaluation.
• Uses Windows PowerShell scripts instead of VBScripts in the Configuration Items for all OVAL test types.
• No longer needs to deploy an inventory tool to client machines, such as SCMDCM.exe used in the prior release

Télécharger SCAP Extensions for System Center Configuration Manager

Matt Shadbolt (MSFT) a publié un très bon billet qui décrit la procédure à utiliser pour tester l’enregistrement de certificats via System Center 2012 R2 Configuration Manager et NDES/SCEP. La procédure est la suivante :

1. Utiliser un poste de travail et valider que l’URL de SCEP fonctionne (http://ndes.domain.com/CertSrv/mscep)
2. Créer un fichier de demande (.Inf) au format adéquat.
3. Créer la requête de certificat : certreq –v –config ndes.mydomain.com –username MYDOMAIN\Administrator –p Password –new request.inf scepRequest.req
4. Soumettre la requête via certreq -v -config ndes.sa.mattslabs.com -submit scepRequest.req scepCert.cer
5. Installer le certificat certreq -accept scepCert.cer

Plus d’informations sur : http://blogs.technet.com/b/configmgrdogs/archive/2015/08/27/so-you-want-to-test-your-ndes-scep-certificate-enrollment.aspx

Microsoft vient de publier la librairie de cmdlets PowerShell pour System Center 2012 R2 Configuration Manager en version 5.0.8249.1128. Cette librairie met à jour les cmdlets fournies par défaut. Auparavant, les mises à jour concernant le module PowerShell était publiée en même temps que les Cumulative Update. Microsoft a souhaité changé sa stratégie en dé-corrélant la partie PowerShell afin d’accélérer le cycle de publications.

Aucun Cumulative Update n’est nécessaire pour installer cette mise à jour de la librairie de cmdlets.

Cette librairie permet notamment via la commande XXX-CMCmdletUpdateCheck de gérer les mises à jour disponibles.

Accéder à la documentation spécifique à la librairie

Télécharger System Center Configuration Manager Cmdlet Library

Ce problème persiste depuis Windows 8. Il concerne la création d’une image avec un processus Build & Capture via System Center Configuration Manager ou Microsoft Deployment Toolkit. Aujourd’hui encore il concerne Windows 8.1 et Windows 10. Il survient lorsque vous créez une machine de référence en supprimant ou en mettant à jour les applications modernes/universelles issues du Windows Store.

Une KB est déjà existante pour expliquer le processus à adopter : Sysprep fails after removing or updating Windows built-in Windows Store apps

Néanmoins, il existe une autre solution de contournement qui revient à bloquer l’accès à Internet à la machine lors de la capture.

Brandon Linton aborde cette problématique sur son blog : Windows 10 Sysprep fails after removing or updating Windows built-in Windows Store apps

Tao Yang (MVP SCCDM) a publié une série d’articles sur l’automatisation de System Center Operations Manager avec Service Management Automation & Aure Automation. Sa série d’articles est une très bonne introduction au sujet pour remplacer System Center Orchestrator.

• Automating OpsMgr Part 1: Introducing OpsMgrExtended PowerShell / SMA Module
• Automating OpsMgr Part 2: SMA Runbook for Creating ConfigMgr Log Collection Rules
• Automating OpsMgr Part 3: New Management Pack Runbook via SMA and Azure Automation
• Automating OpsMgr Part 4:Creating New Empty Groups
• Automating OpsMgr Part 5: Adding Computers to Computer Groups
• Automating OpsMgr Part 6: Adding Monitoring Objects to Instance Groups
• Automating OpsMgr Part 7: Updated OpsMgrExtended Module
• Automating OpsMgr Part 8: Adding Management Pack References
• Automating OpsMgr Part 9: Updating Group Discoveries
• Automating OpsMgr Part 10: Deleting Groups
• Automating OpsMgr Part 11: Configuring Group Health Rollup
• Automating OpsMgr Part 12: Creating Performance Collection Rules
• Automating OpsMgr Part 13: Creating 2-State Performance Monitors

Michael Hildebrand (MSFT) a écrit un article sur la gestion des identités hybrides au travers des différents portails de services en ligne tels qu’Azure Active Directory, Microsoft Intune, ou Office 365. Son article explique simplement la synchronisation des identités et leurs représentations dans les portails. Selon moi, il y a aujourd’hui trop de portails dans lequel on retrouve les mêmes informations. J’espère que Microsoft va travailler ce point qui peut parfois porter à confusion.

Lire (en anglais) Managing Hybrid Identities Across Portals

Microsoft vient d’annoncer la mise à jour (v.9.37) de l’agent Cloud Add Discovery proposé au travers de l’Enterprise Mobility Suite (EMS). Par défaut la mise à jour automatique est activée sur les tenants mais si ce n’est pas le cas, vous allez devoir la déployer. Cette mise à jour inclut de nombreux correctifs de sécurité et de bugs. Elle intègre notamment des modifications en matière de vie privée vis-à-vis des lois et de la régulation légale pour notifier les utilisateurs que l’activité réseau de leur périphérique est supervisée.

Plus d’informations sur : http://social.technet.microsoft.com/wiki/contents/articles/24616.cloud-app-discovery-agent-changelog.aspx

Gartner vient de publier un rapport sur la maturité, les bénéfices et l’excitation du marché pour différentes innovations. Le but est de donner une vision aux entreprises des différentes nouveautés qui pourraient être utilisées dans leur activité.

On retrouve ainsi sur un graphique une courbe avec en abscisse le temps et différentes phases : Le lancement de l’innovation, le pic de l’attente, la période de désillusion, la période d’ouverture et le niveau de productivité. En ordonnées, on retrouve le niveau d’attente.

Chaque technologie est ensuite marqué par une durée jusqu’à l’atteinte du niveau de productivité. On retrouve ainsi différentes innovations dont on entend de plus en plus parler comme l’Internet des objets, le Machine Learning, l’impression 3D, les assistants personnels, etc.

Source : http://www.gartner.com/newsroom/id/3114217

Microsoft vient de publier la Production Preview de Windows Management Framework (WMF) 5.0. Cette version est une Preview pleinement supportée dans un environnement de production. Ce qui signifie que vous pouvez commencer à l’utiliser et ouvrir des tickets auprès de Microsoft tout en étant supporté. Microsoft ne compte pas changer les fonctionnalités et une nouvelle version arrivera dans les prochains mois pour résoudre les derniers problèmes remontés. On retrouve les outils suivants :

• Windows PowerShell 5.0,
• Windows PowerShell ISE,
• Windows PowerShell Web Services,
• Windows Management Infrastructure (WMI),
• Windows Remote Management (WinRM),
• Server Manager WMI provider,
• Windows PowerShell Desired State Configuration (DSC)
• Network Switch Cmdlets
• OneGet

Vous pouvez faire des retours de bugs et de suggestions via Microsoft Connect

Télécharger Windows Management Framework 5.0 Production Preview

Microsoft vient de mettre à jour le pack d’administration ou Management Pack (MP) SCOM pour Active Directory en version 6.0.8321.0. Pour rappel, System Center Operations Manager (SCOM) fait partie de la gamme System Center, il propose une supervision souple et évolutive de l’exploitation au niveau de toute l’entreprise, réduisant la complexité liée à l’administration d’un environnement informatique, et diminuant ainsi le coût d’exploitation. Ce logiciel permet une gestion complète des événements, des contrôles proactifs et des alertes, et assure une gestion des services de bout en bout. Il établit des analyses de tendance et des rapports, et contient une base de connaissances sur les applications et le système.

Cette mise à jour introduit les changements suivants :

• Correction du script AD_Op_Master_Response.vbs qui échoue quand la langue régionale du système est configuré en Allemand.

Il supporte Windows Server 2000/2003/2003R2/2008/2008R2/2012/2012 R2, les RODCs.

Lisez le guide associé au Management Pack pour mettre en œuvre la supervision et activer les règles nécessaires.

Télécharger System Center Monitoring Pack for Active Directory (AD)

Microsoft vient de publier un correctif pour System Center 2012 Configuration Manager SP2 ou R2 SP1 concernant l’injection de mises à jours hors ligne dans une image de système d’exploitation (WIM) de Windows 10. Vous êtes dans le scénario suivant :

• Vous avez configuré la gestion des mises à jour logicielles et coché la case Windows 10
• Vous synchronisez les mises à jour de Windows 10 et vous les téléchargez localement
• Vous décidez d’injecter les mises à jour dans une image de système d’exploitation en naviguant Software Library > Overview > Operating Systems > Operating System Images. Vous sélectionnez ensuite Schedule Updates.

Dans ce scénario aucune mise à jour n’est listée. Ceci survient à cause d’un code défectueux. En effet la requête SQL exécutée est la suivante : ExecQueryAsync: COMPLETE select * from SMS_UpdateCategoryInstance where LocalizedCategoryInstanceName like '%Windows vNext Preview%'

Pour résoudre le problème, vous devez appliquer le correctif suivant : KB3089193 FIX: Updates are not listed when you synchronize all Windows 10 updates and download them locally in System Center 2012 Configuration Manager

Microsoft a annoncé le support des périphériques mobiles iOS 9 par Microsoft Intune. Ce support a été fait dès la mise à disposition de cette nouvelle version. Le support d'iOS 9 par Configuration Manager est assuré par une extension à activer. Toutes les fonctionnalités existantes qui ciblaient iOS 8 et inférieures sont supportées. iOS 9 apporte de nombreuses nouveautés :

Managed App Conversion : Cette fonctionnalité permet de convertir une application installée par l’utilisateur en une application gérée par Microsoft Intune. Auparavant, l’utilisateur devait installer l’application installée manuellement (Word par exemple) pour se la voir déployer via Microsoft Intune pour être gérée. Maintenant, l’entreprise peut prendre le contrôle avec la permission de l’utilisateur. Ceci permet de déployer les stratégies de gestion applicatives (MAM). Cette fonctionnalité sera disponible le mois prochain.

App Trust Flow : Avec l’augmentation des applications malveillantes, Apple a rehaussé le niveau de sécurité. Par défaut, les utilisateurs ne pourront pas lancer une application chargée depuis une source autre que l’AppStore. Les applications doivent donc être validées via l’application Trust Flow. Par défaut, les applications déployées par Microsoft Intune sont conformes et ne nécessitent pas d’action de la part de l’utilisation.

AirDrop : AirDrop permet de créer un nouvel emplacement de stockage. Avant iOS 7, ce dernier n’était pas contrôlable pour éviter la sauvegarde de données d’entreprise. Seuls les périphériques en mode kiosk (supervised mode) pouvaient être bridés. Avec iOS 9, il est possible de tagguer AirDrop comme une application non gérée (allowCloudPhotoLibrary) afin de permettre de ce scénario pour les périphériques personnels ou d’entreprises.

iCloud Photo Library : Il est maintenant possible de brider la synchronisation automatique des photos dans iCloud. Ceci permet d’éviter de faire fuiter des photos de whiteboards.

Liste d’applications autorisées : Jusqu’à maintenant il était possible de provisionner des applications, de restreindre l’accès à l’AppStore, et d’empêcher l’utilisateur de les désinstaller. Ce scénario ne permettait pas de mettre à jour l’application ou d’installer de nouvelle application puisque l’AppStore était désactivé. iOS 9 introduit un nouveau paramètre (allowUIAppInstallation) permet de restreindre l’accès à l’App Store tout en permettant d’ajouter ou mettre à jour des applications.

Ces trois dernières nouveautés sont configurables via les stratégies personnalisées d’iOS.

Microsoft annonce le support de Volume Purchase Program (VPP) pour les prochains mois. Avec iOS 9 de nombreuses améliorations ont été proposées à ce programme qui permet d’acheter, gérer, distribuer des applications aux utilisateurs

Source : http://blogs.technet.com/b/microsoftintune/archive/2015/09/09/day-zero-support-for-ios-9-with-intune.aspx

Microsoft a lancé un sondage sur le moyen d’améliorer le déploiement de Windows Server.

Prenez 5 minutes pour répondre au sondage : https://aka.ms/deployland

Microsoft vient de publier le Patch Tuesday de septembre 2015. Il comporte 12 bulletins de sécurité, dont 4 bulletins qualifiés de critique. Il corrige des vulnérabilités de Windows, Office, Internet Explorer/Edge, SharePoint et Lync.

Légende :

 : Bulletin Critique          : Bulletin Important           : Bulletin Modéré

Retrouvez l'ensemble des informations relatives à ce bulletin de sécurité : Ici

Microsoft vient d’annoncer qu’il devient maintenant possible de sauvegarder Windows 10 par Microsoft Azure Backup. Cette méthode requiert un abonnement Microsoft Azure et vous permet de sauvegarder de manière sécurisée. L’outil vous permet de choisir les données que vous souhaitez sauvegarder pour un prix démarrant à 4.22€/mois. Parmi les fonctionnalités, on retrouve :

• Sauvegarde granulaire de fichiers et dossiers directement depuis la machine vers Azure
• Planification de la sauvegarde personnalisable
• Utilisation efficiente de la bande passante en ne transférant que les changements de données.
• Chiffrement des données avant qu’elles quittent la machine
• Les sauvegardes sont gardées jusqu’à 99 ans
• Restauration de fichiers et dossiers à la demande
• Restauration de sauvegarde sur n’importe quelle machine

Plus d’informations sur : http://azure.microsoft.com/fr-fr/blog/announcing-backup-of-windows-10-machines-using-azure-backup/

Voir une procédure de mise en œuvre pas à pas

Accéder au prix du service

Microsoft a mis à disposition le package Internet Information Services (IIS) 10.0 en édition Express à destination des développeurs. Cette version est gratuite et permet de tester les sites web développés avec les nouvelles fonctionnalités du serveur Web. Elle peut s’installer sur Windows 7 Service Pack 1, Windows 8.1, Windows 8, Windows Server 2008 R2, Windows Server 2012, Windows Server 2012 R2, Windows 10, Windows Server 2016.

Télécharger Internet Information Services (IIS) 10.0 Express

Microsoft vient d’annoncer le rachat d’Adallom ; une société qui propose des solutions Security-as-a-Service pour donner aux entreprises de la visibilité et le contrôle sur les accès aux applications et aux données. Adallom offre aujourd’hui des capacités avec Office 365, Salesforce, Box, Dropbox, ServiceNow, et Ariba. Adallom sera proposé au travers d’Office 365 et de l’Enterprise Mobility Suite (EMS).

Source : http://blogs.microsoft.com/blog/2015/09/08/microsoft-acquires-adallom-to-advance-identity-and-security-in-the-cloud/

Microsoft vient de mettre à jour le pack d’administration ou Management Pack (MP) SCOM pour DHCP de Windows Server 2012 en version 6.0.7295.0. Pour rappel, System Center Operations Manager (SCOM) fait partie de la gamme System Center, il propose une supervision souple et évolutive de l’exploitation au niveau de toute l’entreprise, réduisant la complexité liée à l’administration d’un environnement informatique, et diminuant ainsi le coût d’exploitation. Ce logiciel permet une gestion complète des événements, des contrôles proactifs et des alertes, et assure une gestion des services de bout en bout. Il établit des analyses de tendance et des rapports, et contient une base de connaissances sur les applications et le système.

Voici les changements introduits :

• Les propriétés de la vue des relations du Failover Server n’affichent pas toutes les adresses IP.

Notez que ce pack d’administration fonctionne avec System Center Operations Manager 2007 R2 et 2012 Operations Manager. Lisez le guide associé au Management Pack pour mettre en œuvre la supervision et activer les règles nécessaires.

Télécharger System Center Management Pack for Windows Server 2012 DHCP

Si vous avez fait des projets de déploiement de Surface Pro 3, vous avez surement fait face à ce problème. La Surface Pro 3 n’a pas de port Ethernet et Microsoft vend un adaptateur USB pour ce besoin. Ceci permet donc de déployer un système d’exploitation via PXE puisqu’il n’existe pas aujourd’hui de technologie permettant de le faire via WiFI.

Les problèmes commencent lorsque vous déployez plusieurs machines avec le même adaptateur USB via System Center 2012 Configuration Manager. Dans ce cas la première machine s’enregistre en utilisant l’adresse MAC de l’adaptateur et ceci bloque le PXE des autres périphériques que vous souhaitez déployer. Il faut donc attendre que l’inventaire matériel et la découverte tourne pour que l’adaptateur Ethernet ne soit plus associé au périphérique. Ceci a forcé certaines entreprises à utiliser d'autres solutions telles que Microsoft Deployment Toolkit.

L’équipe ConfigMgr vient de donner une solution visant à exclure l’adresse MAC des adaptateurs USB utilisés de la découverte de données. Cette opération doit être faite sur le serveur de site via la clé de registre :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SMS\Components \SMS_DISCOVERY_DATA_MANAGER\ExcludeMACAddress

Vous devez ajouter les différentes adresses MAC (50:1A:C5:FE:AA:8C) à cette valeur.

Vous devez ensuite importé les machines non plus en utilisant l’adresse MAC mais le SMBIOS GUID de la machine.

Plus d’informations sur l’article : http://blogs.technet.com/b/system_center_configuration_manager_operating_system_deployment_support_blog/archive/2015/08/27/re_2d00_use-the-same-nic-for-multiple-pxe-initiated-deployments.aspx

La prochaine grosse innovation de Windows Server 2016 sont les conteneurs ! On n’arrête pas de parler de Docker (créé par des français) qui sont en train de révolutionner l’informatique, le Cloud et la façon de développer. Mark Russinovich (CTO Microsoft Azure) a publié un article décrivant les différents types de conteneurs proposés via Windows Server 2016. Les conteneurs sont une nouvelle forme de virtualisation. Ils sont à cheval entre la virtualisation de système d’exploitation et d’applications. Le but est de créer une perception d’isolation complète entre l’application et le système d’exploitation. Pour ce faire, la technologie utilise l’isolation de namespaces. Ces derniers incluent toutes les ressources auxquelles une application peut interagir avec (fichiers, ports, listes de processus en cours d’exécution, etc.). Ainsi le conteneur ne peut accéder qu’aux ressources incluses dans son namespace virtualisé. Docker (créé par des français) a permis d’améliorer le concept d’isolation de namespace en fournissant un ensemble d’outils, de packages et de mécanismes de déploiement.

Sur Windows Server 2016, on retrouve deux types de conteneurs : Windows Server Containers et Hyper-V Containers. Les conteneurs Windows requiert des APIs Windows du kernel de l’hôte Windows. Ces derniers ne peuvent donc pas être lancés sur des hôtes Linux. Il en va de même pour les conteneurs Linux.

Les conteneurs Windows Server partage le système d’exploitation avec l’hôte et chacun des conteneurs sur l’hôte. De ce fait, les APIs et données partagées peuvent permettre à une application de sortir de son isolation. La quantité de données et des API communes signifie qu'il peut y avoir des situations où une application sort de son conteneur ou refuse l’accès à un service pour l’hôte ou d’autres conteneurs, que ce soit par la conception ou à cause d'un défaut de mise en œuvre dans l'isolement de namespaces ou de gouvernance des ressources. Les conteneurs Windows Server sont d’usages lorsque l’application et le système d’exploitation sont dans la même limite de confiance. Ceci permet ainsi d’éviter d’éventuels problèmes de sécurité.

Pour parer à ce problème, Microsoft propose aussi les conteneurs Hyper-V. Ces derniers donnent plus d’isolation puisque chaque conteneur a sa propre copie du kernel Windows. Ils se voient aussi assignés de la mémoire directement. Hyper-V est utilisé pour l’isolation du processeur, de la mémoire, et des IOs. Les conteneurs Hyper-V offrent un niveau d’isolation similaire aux machines virtuelles puisque l’hôte expose qu’une sous partie de l’interface au conteneur pour communiquer et partager des ressources avec l’hôte. De ce fait, les conteneurs Hyper-V ont un temps de démarrage plus long et une densité moins importante que les conteneurs Windows Server. Cependant, ils donnent une isolation permettant d’exécuter des applications non connues.

Les deux types de conteneurs peuvent utiliser les mêmes packages déployés par Docker. Il n’y a donc pas de développement spécifique pour l’un des deux types de conteneurs.

Microsoft a utilisé ce principe de conteneurs pour créer des microservices pour ces différents services dans le cloud tels qu’Office 365, Microsoft Intune etc. Il en va de soi que nous commençons juste à parler des conteneurs qui représentent le prochain niveau du cloud en entreprise.

Plus d’informations sur l’article (en anglais) : Containers: Docker, Windows and Trends

• Une intégration plus étroite entre Windows Defender et Windows 10
• Intégration avec les solutions de MDM notamment dans des scénarios BYOD
• Windows Defender tourne comme un service protégé l’isolant des menaces
• Windows 10 intègre un mécanisme de protection du registre et des fichiers
• Amélioration de la détection des logiciels malveillants
• Windows Defender communique avec UAC afin de déterminer si les changements effectués sur des fichiers/dossiers sont malicieux