Microsoft vient d’annoncer la mise à disposition d’un nouvel ensemble de fonctionnalités pour Microsoft Intune.

Les fonctionnalités suivantes sont ajoutées :

Enregistrement des périphériques

• [Android Enterprise] La version du système d’exploitation peut être utilisée pour restreindre l’enregistrement des périphériques en fonction de la méthode d’enregistrement Android Enterprise (Work Profile, Device Owner, etc.).

• [Windows 10] Un nouveau affiche tous les périphériques déployés avec Windows Autopilot.

Gestion du périphérique

• [Windows 10] Vous pouvez éditer le nom du périphérique pour les périphériques joints à Azure Active Directory.
• [Windows 10] Vous pouvez éditer la valeur Group Tag pour les périphériques Autopilot.
• [Windows 10] Nouvelles restrictions pour renommer les périphériques Windows devant répondre aux exigences :
  • 15 caractères ou moins (doit être inférieur ou égal à 63 octets, sans compter NULL)
  • Ne doit pas être nul ou une chaîne vide
  • ASCII autorisé : lettres (a-z, A-Z), chiffres (0-9) et tirets.
  • Unicode autorisé : caractères >= 0x80, doit être valide UTF8, doit être mappable IDN (RtlIdnToNameprepUnicode réussi ; voir RFC 3492)
  • Les noms ne doivent pas contenir uniquement des chiffres
  • Aucun espace dans le nom
  • Caractères interdits : { | } ~ [ \ ] ^ ' : ; < = > ? & @ ! " # $ % ` ( ) + / , . _ *)
• [Android] Un nouveau rapport sur la page d’aperçu de périphérique permet d’afficher combien de périphériques Android ont été enregistrés avec telle ou telle solution de gestion Android.

Configuration du périphérique

• [Général] Arrivée des ensembles de stratégies (Policy Sets) permettant de rassembler un ensemble de stratégies (applications, configuration, etc.) qui sont déployés ensembles sous la forme d’un bundle. Vous pouvez toujours créer des stratégies individuelles mais cette fonctionnalité permet de créer des configurations basées sur des profils ou des usages. Parmi les éléments configurables, on retrouve :
  • Sur la gestion des applications : Les applications, les stratégies de configuration d’applications, les stratégies de protection d’application
  • Sur la gestion du périphérique : Les profils de configuration de périphériques, les stratégies de conformité de périphérique
  • Sur l’enregistrement de périphérique : Les restrictions de type de périphérique, les profils de déploiement Windows Autopilot, les stratégies d’Enrollment Status Page

• [Windows 10] Mise à jour de l’interface graphique de création/édition des anneaux de déploiement (Update Rings) de Windows 10. Ces interfaces sont maintenant déclinées sous la forme d’assistant.

• [Windows 10] J’en avais déjà parlé, Microsoft retire le paramétrage Engaged Restart de l’interface pour le remplacer par le paramétrage date butoir (deadlines)
• [iOS] Mise à jour de l’interface graphique de création/édition des stratégies de mise à jour logicielles pour iOS. Ces interfaces sont maintenant déclinées sous la forme d’assistant.
• [iOS/iPadOS] Nouveau paramétrage de configuration pour restreindre les fonctionnalités et paramétrages dans iOS 13+ et iPadOS 13+  afin de contrôler :
  • L’accès aux partage réseau dans l’application Fichiers
  • L’accès aux périphériques USB dans l’application Fichiers
  • L’activation forcée du Wi-Fi

• [Android/Android Enterprise] Retrait du paramétrage de connexion automatique du WiFi des profils WiFi pour Android Legacy (Device Admin) et Android Enterprise. Ce paramétrage n’est pas supporté par Android et n’a jamais fonctionné.
• [Android Enterprise] Le paramétrage Prevent app installations from unknown sources in the personal profile permet d’empêcher l’installation d’applications à partir de sources inconnues sur les périphériques Android Enterprise Work Profile.

• [Android Enterprise] Vous pouvez créer des paramétrages proxy HTTP globaux pour les périphériques Android Enterprise Device Owner (COBO) redirigeant tout le trafic http vers le proxy spécifié. Vous pouvez le créer en naviguant dans Device configuration > Profiles > Create profile > Android Enterprise comme plateforme > Device owner > Device restrictions pour type de profile > Connectivity

Gestion des applications

• [Général] Microsoft intune fournit maintenant des scénarios guidés permettant de réaliser un ensemble de tâches via un workflow unique centré sur une case d’usage. On retrouve par exemple :
  • Déployer Microsoft Edge pour les Mobiles
  • Securiser les applications mobiles Microsoft Office
  • Postes de travail moderne gérés par le Cloud

• [Android/iOS] La variable AAD Device ID est disponible pour créer des stratégies de configuration d’applications.
• [Android Enterprise] Il est maintenant possible de voir l’état d’installation et la version des applications Google Play Gérée déployées en libre-service sur les périphériques Android Enterprise Work Profile, Dedicated et Fully Managed.
• [Windows 10/macOS] Public Preview de la capacité de déployer Microsoft Edge (Chromium) en version 77+ sur Windows 10 (canaux Dev et Beta) et macOS (canal Beta). Le déploiement n’est disponible que pour la version anglaise uniquement néanmoins, l’utilisateur peut changer la langue dans les paramétrages du navigateur. L’installation se fait en activant les mises à jour automatique et en empêchant de désinstaller le navigateur.

• [iOS] Mise à jour des interfaces graphiques de création/édition des stratégies de protection applicatives et pour les profils de provisionnement d’applications iOS. Ces interfaces sont maintenant déclinées sous la forme d’assistant.

Sécurité du périphérique

• [macOS] Vous pouvez déployer et utiliser des certificats PKCS sur les utilisateurs et les périphériques macOS qui ont des champs nom sujet et nom de sujet alternatif personnalisés. Le certificat PCKS pour macOS prend en charge le nouveau paramètre Allow All Apps Access afin d’activer l'accès de toutes les applications associées à la clé privée du certificat.

• [iOS] Intune supporte l’utilisation d’identifiants dérivés (Derived Credentials) comme méthode d’authentification et solution de chiffrement S/MIME pour les périphériques iOS. Derived Credentials sont une implémentation du standard NIST pour authentifier les utilisateurs comme avec des SmartCards et déployer un certificat d'authentification. Les Derived Credentials peuvent être utilisés pour s’authentifier aux VPNs, WiFi, et Email. Microsoft Intune supporte les fournisseurs suivants : DISA Purebred, Entrust Datacard, Intercede. Comme les périphériques mobiles n'ont pas de lecteur SmartCard, les utilisateurs s'authentifient à l'aide du lecteur de carte à puce d'un appareil fiable qui relie l'authentification à leur appareil mobile.  Un certificat numérique est alors délivré à l'appareil mobile. Afin de faciliter l'expérience utilisateur pour les utilisateurs finaux, le flux d'inscription des justificatifs d'identité dérivés est intégré dans l'application Intune Company Portal, qui est l'application utilisée pour l'inscription du périphérique avec Intune.
  
  
  Traduit avec www.DeepL.com/Translator

Autre

• [Général] Vous pouvez utiliser Graph API pour spécifier onPremisesUserPrincipalName comme variable SAN pour les certificats SCEP.

Plus d’informations sur : https://docs.microsoft.com/en-us/intune/whats-new

Microsoft vient d’annoncer la Disponibilité Générale de son service Cloud : Desktop Analytics. Desktop Analytics est le remplaçant de Windows Analytics (voir la suite du billet). Ce service va devenir la pierre angulaire du poste de travail moderne afin d’offrir de nombreux outils d’analyse :

• Inventaire des applications de l’entreprise.
• Evaluation de la compatibilité des machines (matériels, logiciels, drivers, etc.) avec les dernières versions de Windows
• Rationalisation des applications, de la priorité et de la compatibilité associée en fonction de la télémétrie.
• Suivi des mises à niveau de fonctionnalités (Builds Windows 10 et Office 365)
• Suivi des mises à jour de Windows 10 et Office 365
• Suivi de la fiabilité (Crash, problèmes de compatibilités, etc.)
• Suivi des performances (temps de démarrage, temps d’application des GPOs, etc.)
• Automatisation de certaines tâches et de la création de vagues de déploiement (Pilote, etc.)

Ce service est proposé aux clients qui ont souscrit à :

• Windows 10 Enterprise E3 ou E5 (inclus dans Microsoft 365 F1, E3, ou E5)
• Windows 10 Education A3 ou A5 (inclus dans Microsoft 365 A3 ou A5)
• Windows Virtual Desktop Access E3 ou E5.

Pour l’instant, l’intégration ne se fait qu’avec System Center Configuration Manager (1902 ou ultérieure) mais Microsoft planifie l’intégration avec Microsoft Intune dans les prochains mois.

Quand est-il de Windows Analytics ?

Windows Analytics comprend Upgrade Readiness, Update Compliance et Device Health.
Microsoft planifie le retrait de Windows Analytics pour le 31 janvier 2020 :

• Il ne sera plus possible de créer de nouveaux tenant avec les solutions Upgrade Readiness et Device Health.
• La solution Update Compliance restera disponible dans le portail Azure.

Une option pour migrer les données de Windows Analytics Upgrade Readiness (Device Health n’est pas concerné) vers Desktop Analytics est disponible. Elle permet de reprendre les données d’importance, et de propriétaire de l’application.

Tester Desktop Analytics

Microsoft vient de finaliser la version 1.2019.926.0 de son outil de packaging (MSIX Packing Tool). Cet outil permet de prendre un package d’application Win32 existant et de la convertir au format MSIX. Vous utilisez pour cela une machine de référence pour exécuter l’outil et obtenir le package MSIX que vous pouvez ensuite déployer à la main, par votre outil de télédistribution ou depuis le Microsoft Store.

Pour rappel, le format MSIX est un nouveau format standardisé lancé par Microsoft pour remplacer l’ensemble des formats de packaging existants tout en bénéficiant des avancés des différentes solutions : Click-To-Run (C2R), App-V, APPX et plus généralement du Framework d’applications universelles (UWP). Il offre donc des mécanismes de conteneurisation et les bénéfices des applications universelles avec une installation, mise à jour et désinstallation aisée sans laisser aucune trace sur le système. Il fournit aussi des mécanismes de sécurisation avancés permettant de valider l’intégrité du code exécuté. Ce format permet aussi de créer des personnalisations pour les applications packagées et de les faire perdurer au travers des différentes mises à jour de l’application.

Cette version apporte les éléments suivants :

• Elle permet aux entreprises d’utiliser le service de signature Device Guard pour signer leurs packages avec leur tenant Azure AD.
• Microsoft a mis à jour le workflow de packaging
• Ajout de l’option d’édition au niveau du clique droit pour lancer l’éditeur de package.

Pour accéder à l’outil, vous devez :

• Participer au programme Windows Insider Fast ou Slow Ring
• Avoir Windows 10 17701 ou plus
• Avoir les droits d’administrateur sur la machine
• Avoir un compte Microsoft pour accéder au Microsoft Store.

Plus d'éléments sur le format MSIX sur MSIX Intro

Télécharger MSIX Packing Tool

Le support Microsoft Intune a publié deux très bons billets permettant de détailler la procédure à mettre en œuvre pour permettre la configuration de la synchronisation des contacts Outlook sur iOS avec Microsoft Intune. La procédure est légèrement différente entre iOS 11.3 et 12.1. Vous pouvez suivre les recommandations sur ces deux articles :

• Support Tip: iOS 11.3 and Native Contacts App
• Support Tip: Enabling Outlook iOS Contact Sync with iOS12 MDM Controls

Microsoft fait appel à vous pour améliorer la qualité des traductions utilisées dans System Center Configuration Manager 1906. Le produit est traduit dans 18 langues pour l’interface d’administration et 22 pour l’interface cliente. A chaque version de ConfigMgr, Microsoft ajoute ou met à jour des chaines de caractères qui doivent être traduites.

Le but est donc d’aider Microsoft à la revue de ces chaines de caractères. Si vous êtes intéressés, vous pouvez :

1. Télécharger les fichiers CAB de revue des interfaces localisées de CM1906 et dézippez les fichiers.
2. Choisissez les PDFs qui correspondent aux langues que vous voulez revoir.
3. Lisez les screenshots et les changements d’interfaces
4. Envoyez des retours en fonction de votre revue
5. Dans la description, vous devez inclure :
   1. Le nom du PDF que vous avez revue
   2. L’identifiant de l’objet dans l’interface
   3. La description du retour que vous faites.
   4. Votre commentaire ou votre proposition pour remplacer la chaine.

Plus d’informations sur : Lost in translation – 1906 edition

Avec Azure RMS, Microsoft proposait un portail de suivi (tracking) des documents. Ce portail n’est plus disponible avec Azure Information Protection. Après des échanges avec des clients, le portail précédent ne répondait jamais exactement aux besoins des clients (volonté de cacher la localisation d’ouverture, capacité de filtre, etc.). Le portail nécessité aussi que les utilisateurs enregistrent manuellement chaque document qu’ils souhaitaient suivre.

Il n’est est pas moins possible de créer le portail qui correspond à vos besoins ! Pour cela, l’équipe AIP a publié un article intéressant sur le sujet avec un exemple de code source à utiliser.

Plus d’informations sur : How to Build a Custom AIP Tracking Portal

Depuis le 17 Octobre, les utilisateurs de Windows 7 Professionnel qui ont installé la KB4524752 commencent à voir des notifications pour signaler la fin de support du système d’exploitation. Ces notifications ne concernent que les machines qui ne sont pas jointes à un domaine Active Directory.

Outre cette restriction, le système de notifications vérifie que les clés de registre suivante n’existent pas :

Clé: HKLM\Software\Policies\Microsoft\Windows\Gwx avec Valeur DWORD DisableGwx = 1

Clé: HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate avec Valeur DWORD: DisableOSUpgrade = 1

La notification permet à l’utilisateur :

• D’en apprendre plus sur cette fin de support
• Fermer la fenêtre avec la croix et dans ce cas des rappels seront affichés
• Cliquer sur Ne plus me le rappeler et fermer la fenêtre pour ne plus voir ces notifications.

Aujourd’hui en travaillant sur des enjeux de chiffrement avec BitLocker chez un client, nous avons tenté de mettre à jour la puce TPM Infineon d’un modèle HP. En exécutant l’outil TPMConfig.exe (HP TPM Configuration Utility), nous obtenons la fenêtre blanche suivante :

Le résultat était le même si nous essayons d’exécuter l’outil en ligne de commande avec certains paramètres.

Le fichier de journalisation associé à l’outil renvoie les messages suivants :

<DATE>|00001E94|Information|CTpmUpdateApp::InitializeProperties|******************************************************************

<DATE>|00001E94|Information|CTpmUpdateApp::InitializeProperties|**   Start of HP TPM FW Update session, version 2.0.3.1    **

<DATE>|00001E94|Information|CTpmUpdateApp::InitializeProperties|******************************************************************

<DATE>|00001E94|Information|CTpmUpdateApp::InitializeProperties|Command line:

<DATE>|00001E94|Information|TpmUpdate::SmbiosInfo::GetSmbiosInfo|Getting SMBIOS information

<DATE>|00001E94|Information|TpmUpdate::PrivateWmiInfo::GetPrivateWmiSettings|m_isGondorBIOS = 1, m_isEspDriveSupported = 1

<DATE>||00001E94|Information|TpmUpdate::PrivateWmiInfo::GetPrivateWmiSettings|, m_isGondorBIOS = 1

<DATE>|00001E94|Information|CTpmUpdateApp::ShowError|

<DATE>|00001E94|Information|CTpmUpdateApp::ExitInstance|HPTPMFWUpdate Return Code = 306

<DATE>|00001E94|Information|CTpmUpdateApp::ExitInstance|******************   End of HP TPM FW Update session    ******************

Après investigation, il s’avère qu’il faille désactiver la virtualisation (Virtualization Technology (VTx) dans le BIOS/UEFI de la machine.

Ceci permet de lancer l’outil de faire la mise à jour de la puce TPM.

Vous pouvez ensuite réactiver la virtualisation (Virtualization Technology (VTx) dans le BIOS/UEFI de la machine.

Microsoft a mis à jour (en version 1.6.0.42) l’outil SetupDiag permettant d’aider les administrateurs à obtenir du détail lorsqu’une mise à niveau de Windows 10 ne fonctionnait pas. L’outil vérifie les fichiers de journalisation Windows Setup pour trouver les éléments bloquants afin d’identifier la cause principale de l’échec.

Afin d’exécuter l’outil, vous devez utiliser Windows 10 et avoir le .NET Framework 4.6 installé.

L’outil en ligne de commande peut être exécuté sur la machine ou de manière hors ligne à partir d’une machine où vous aurez récupéré les journaux d’une autre machine. Après exécution, vous obtenez un fichier SetupDiagResult.log qui vous donne les éléments essentiels trouvés par l’outil.

La version 1.6.0.42 apporte les éléments suivants :

• Les performances de détection des journaux sont améliorées. Ce qui prenait jusqu'à une minute devrait prendre environ 10 secondes.
• Ajout de l'opération d'installation et des informations sur la phase d'installation dans le journal des résultats et dans les informations du registre.
• Il s'agit des inforamtions Setup Operation et Setup Phase dans laquelle l'installation s'est déroulée lorsque l'échec s'est produit.
• Ajout des informations détaillées sur l'opération de configuration et la phase de configuration (et la synchronisation) au journal de sortie lorsque /verbose est spécifié.
• Ajout de plus d'informations à la sortie du Registre.

Plus d’informations sur l’outil et les paramètres de la ligne de commande 

Télécharger SetupDiag 1.6.0.42

Je vous en parlais il y a quelques semaines en vous expliquant comment privilégier l’une des deux méthodes, Microsoft a publié dans la version de ce mois d’Office ProPlus, la fonction native d’étiquetage/labélisation du contenu. Office ProPlus sur Windows vient rejoindre Office pour mac, Word, Excel et Powerpoint sur iOS et Android.

Une fois que l’entreprise a défini et configuré les labels/étiquettes et stratégies de confidentialité, les mêmes étiquettes sont publiées et mises à disposition dans les applications Office sans demander de client supplémentaire.

Cette fonction est proposée aux entreprises qui ont Office 365 E3 et E5.
Voici les versions des clients qui supportent cette fonction :

• Office 365 ProPlus version 1909+ (Canal mensuel ciblé)
• Office pour mac 16.21.0+
• Android : Word, Excel, PowerPoint 16.0.11231+ (Outlook arrive prochainement)
• iOS : Word, Excel, PowerPoint 2.21+ (Outlook arrive prochainement)
• Web : Word, Excel, PowerPoint, et Outlook sont prévus d’ici la fin de l’année

Plus d’informations sur les étiquettes de confidentialité

Source : https://techcommunity.microsoft.com/t5/Security-Privacy-and-Compliance/Sensitivity-labeling-now-built-into-Office-apps-for-Windows-to/ba-p/844506

J’en parlais déjà il y a quelques jours avec l’arrivée du rôle Global Reader, on ne retrouve pas moins de 16 nouveaux rôles dans Azure Active Directory permettant de gérer les droits d’accès aux différents services. On remarquera certains qui vont grandement intéresser les entreprises (Message center privacy reader, Authentication administrator,  Password administrator etc.).

Parmi les 16 rôles, on retrouve :

• Authentication administrator : Affichez, définissez et réinitialisez les informations et les mots de passe des méthodes d'authentification pour tout utilisateur non administrateur.
• Azure DevOps administrator : Gérer la politique et les paramètres d'organisation de DevOps Azure.
• B2C user flow administrator : Créer et gérer tous les aspects des flux d'utilisateurs.
• B2C user flow attribute administrator : Créez et gérez le schéma d'attributs disponible pour tous les flux utilisateur.
• B2C IEF Keyset administrator : Gérer les secrets pour la fédération et le cryptage dans le cadre de l'Identity Experience Framework.
• B2C IEF Policy administrator : Créer et gérer les politiques du cadre de confiance dans le cadre de l'expérience de l'identité.
• Compliance data administrator : Créez et gérez des données et des alertes de conformité.
• External Identity Provider administrator : Configurer les fournisseurs d'identité pour une utilisation en fédération directe.
• Global reader : Affiche tout ce qu'un administrateur Global peut voir sans pouvoir modifier ou changer.
• Kaizala administrator : Gérer les paramètres pour Microsoft Kaizala.
• Message center privacy reader : Lisez les messages du centre de messagerie, les messages de confidentialité des données, les groupes, les domaines et les abonnements.
• Password administrator : Réinitialiser les mots de passe pour les non-administrateurs et les administrateurs de mots de passe.
• Privileged authentication administrator : Affichez, définissez et réinitialisez les informations de méthode d'authentification pour tout utilisateur (administrateur ou non administrateur).
• Security operator : Crée et gère les événements de sécurité.
• Search administrator : Créez et gérez tous les aspects des paramètres de recherche Microsoft.
• Search editor : Créez et gérez le contenu éditorial tel que les signets, les questions et réponses, les emplacements, le floorplan.

Source : https://techcommunity.microsoft.com/t5/Azure-Active-Directory-Identity/16-new-built-in-roles-including-Global-reader-now-available-in/ba-p/900749  

Microsoft vient de publier l’Update Rollup 8 pour System Center 2016 Virtual Machine Manager (KB4518885). Avant d’appliquer cet UR, lisez bien les articles de la base de connaissances associés. Vous pouvez les déployer manuellement en récupérant les CAB ou via Windows Update/WSUS.

Cette version ajout la possibilité de déployer des machines virtuelles Gen-2 avec une mémoire jusqu'à 12 To et un processeur jusqu'à 240 cœurs.

Celui-ci corrige le problème suivant :

• Le déploiement du service par VMM échoue si le nom de domaine fourni est supérieur à 15 caractères.
• La cmdlet PowerShell 'Get-SCServicingWindowWindow' ne renvoie pas les fenêtres de maintenance actives si le paramètre'-ServicingWindowFilter' est passé avec la valeur 'now'.
• Lors de l'importation d'un modèle Vmware pour Windows Server 2016, l'option 'OS Configuration' est manquante.  Note : Une fois le correctif VMM 2016 UR8 appliqué, les modèles VMware doivent être supprimés et réimportés après l'exécution d'un travail de rafraîchissement VM pour que l'option 'OS Configuration' s'affiche. Par défaut, le rafraîchissement des VM s'exécute toutes les 30 minutes.Les compteurs de performances de la machine virtuelle dans VMM ne se rafraîchissent pas.
• Le déploiement Bare Metal échoue avec l'erreur ‘There was an error communicating with the endpoint. The server name or address could not be resolved’.
• Lorsqu'un hôte dans un domaine non sécurisé est géré par VMM, les événements avec les IDs '15030' et'17140' sont enregistrés dan s'Microsoft-Windows-Hyper-V-VMMS/Admin' toutes les 30 minutes.
• La migration cross-cluster échoue pour les machines virtuelles VMware hautement disponibles gérées dans VMM.
• VMM ne détecte pas la version OS du client Windows si la version est 1709 ou supérieure.
• Les réglages QOS configuré hors bande sont écrasés par VMM
• Les opérations effectuées sur une machine virtuelle peuvent échouer dans un environnement qui utilise DHCP pour l'attribution d'adresses IP tout en laissant la machine virtuelle gérer la même plage d'adresses IP.
• Les opérations simultanées sur les VM gérées par le contrôleur réseau peuvent échouer.
• Les propriétés de la carte d'interface réseau OOB peuvent être écrasées par job de rafraîchissement de VM VMM dans un environnement SDN v2.
• Les paires VLAN/sous-réseau sous le sous-menu ‘Logical network connectivity’ des propriétés de l'adaptateur réseau hôte ne sont pas sélectionnées.
• La console VMM plante lorsqu'un utilisateur en libre-service énumère les propriétés d'une VMM avec disque partagé.
• Les mises à jour de la mémoire et du processeur d'une machine virtuelle échouent lorsqu'une mise à jour est effectuée sur le disque VM en même temps.
• Le service SCVMM peut crasher lorsque plusieurs machines virtuelles sont créées simultanément.
• Des classes de Management Pack VMM obsolètes sont instanciées lorsque VMM est intégré à Operations Manager 2016 et supérieur.
• Plusieurs machines virtuelles peuvent être déployées simultanément à partir d'une machine virtuelle stockée dans VMM Library Server.
• Amélioration des performances dans le temps nécessaire à la création d'un pool d'IP statiques.

Important ! Je vous recommande de bien lire l’article de la base de connaissances pour connaître la marche à suivre pour l’application de cet Update Rollup.

Plus d’informations sur : https://support.microsoft.com/en-in/help/4518885/update-rollup-8-for-system-center-2016-virtual-machine-manager

Télécharger Update Rollup 8 for System Center 2016 Virtual Machine Manager:

• Server Update
• Console Update

Microsoft vient d’annoncer le support du client Office 365 ProPlus par Windows Server 2019 que ce soit pour des déploiements On-Premises ou dans Microsoft Azure. Dans le même temps, Microsoft recommande l’usage des fonctionnalités proposées par FSLogix pour permettre l’utilisation de conteneur Office 365 afin d’améliorer la disponibilité et les performances du profil utilisateur sur des environnements non persistants (VDI).

Source : https://cloudblogs.microsoft.com/windowsserver/2019/10/07/windows-server-2019-adds-support-for-office-365-proplus/

Microsoft vient de publier l’Update Rollup 8 pour System Center 2016 Operations Manager (KB4514877). Avant d’appliquer cet UR, lisez bien les articles de la base de connaissances associés. Vous pouvez les déployer manuellement en récupérant les CAB ou via Windows Update/WSUS.

Celui-ci corrige le problème suivant :

• Correction : Dans un scénario où SCOM surveille des centaines de machines virtuelles hébergées sur un seul serveur Hyper-v ; toutes les heures, le fichier healthservice.exe de chaque machine virtuelle écrit simultanément dans le fichier de la page VM. En raison de cette pagination simultanée, chaque heure les I/Os disque augmente et la base de données devient inaccessible. HealthService.exe a maintenant la fonction Memory Trimming activée par défaut sur une base horaire. Une clé de registre est fournie pour désactiver le réglage de la mémoire et contrôler la durée.
• Correction : Les données historiques n'apparaissent pas si l'heure de fin du rapport d'entrée est antérieure à l'heure de création du groupe. Avec cette correction, les données historiques d'un groupe (si des données sont disponibles pour les objets du groupe) sont affichées indépendamment de l'heure de création du groupe.
• Correction : Les changements d'état du mode de maintenance qui sont enregistrés dans la table MaintenanceModeStage nécessitent un nettoyage lorsque la table grandit. Si la table est grande, le nettoyage prend plus de temps et l'opération s'arrête avec l'exception SQLTimeOut.  
• Correction : Si un groupe est renommé dans un Management pack, la console affiche la nouvelle valeur mais la commande Powershell Get-SCOMGroup renvoie l'ancien nom du groupe. La fonctionnalité de mise à jour des bases de données n'était pas cohérente pour le renommage des groupes SCOM via MP et la Console SCOM.
• Correction: Les problèmes de pic CPU dus aux flux de travail exécutés sur tous les agents en même temps sont résolus par l'optimisation des scripts et la suppression du temps de synchronisation.
• Correction : Si la clé de registre sous "Computer\HKey_Local_Machine\Software\Microsoft\Microsoft\Microsoft Operations Manager\3.0\Setup\UseMIApi" est définie et si une tâche de script Unix/Linux sans paramètre est exécutée, cette tâche échoue.
• Amélioration : Parfois la procédure SQL stockée "p_SelectForNewTypeCache" prend beaucoup de temps à s’exécuter, et le service SDK ne démarre pas. Ceci est corrigé et la procédure stockée SQL se termine plus rapidement maintenant.

Important ! Vous devez installer la mise à jour KB3209591 avant d’installer cet Update Rollup. Je vous recommande de bien lire l’article de la base de connaissances pour connaître la marche à suivre pour l’application de cet Update Rollup.

Plus d’informations sur : https://support.microsoft.com/en-us/help/4514877/update-rollup-8-for-system-center-2016-operations-manager

Télécharger Update Rollup 8 for System Center 2016 Operations Manager

Microsoft vient de publier l’Update Rollup 8 pour System Center 2016 Service Manager (KB4516987). Avant d’appliquer cet UR, lisez bien les articles de la base de connaissances associés. Vous pouvez les déployer manuellement en récupérant les CAB ou via Windows Update/WSUS.

Celui-ci corrige le problème suivant :

• Correction d’un problème qui se produit lorsque vous créez des demandes qui incluent des fichiers en pièces jointes dans le portail libre-service et qui génère des messages d'erreur erronés lorsque les demandes sont générées avec succès.
• Les saisies de l'utilisateur lors de la soumission d'une offre de demande de service sont désormais conservées en cas d'échec de validation, à l'exception des pièces jointes et des résultats des requêtes.
• Le filtrage dans la page Mes demandes a été amélioré pour rechercher également la description des demandes en plus de leur ID, leur titre et leur statut.
• Le lien email dans le Portail Libre-Service a été corrigé pour composer le mail avec la bonne adresse 'A'.
• Correction d'un problème qui empêchait l'utilisateur d'entrer des caractères de balises HTML dans la page de détails de la requête dans Internet Explorer.
• Améliorations apportées au temps de démarrage du service SDK.
• Le connecteur Service Manager pour Configuration Manager est en cours de mise à niveau pour prendre en charge les dernières versions Configuration Manager. Il sera bientôt disponible par le biais d'un correctif autonome, ainsi que dans l’UR9 de SCSM.

Important ! Je vous recommande de bien lire l’article de la base de connaissances pour connaître la marche à suivre pour l’application de cet Update Rollup.

Plus d’informations sur : https://support.microsoft.com/en-us/help/4516987/update-rollup-8-for-system-center-2016-service-manager

Télécharger Update Rollup 8 for System Center 2016 Service Manager

L’équipe ConfigMgr propose une mise à jour (5.00.8239.1010) du pack d’administration ou Monitoring Pack pour System Center Configuration Manager. Cette version supporte à la fois ou System Center 2012 Operations Manager et plus. Il supporte :

• System Center 2012 Configuration Manager SP2 CU3 ou plus
• System Center 2012 R2 Configuration Manager SP1 CU3 ou plus
• System Center Configuration Manager Current Branch

Cette version apporte les changements suivants :

• Correction d’un bug où les alertes pour plusieurs moniteurs affichaient des valeurs incorrectes dans la description.
• Changement du connecteur Microsoft Intune au service connection point dans le Management Pack pour refléter le nouveau rôle du système du site.
• Les fichiers.msi et.mp du Management Pack ont été signés avec un certificat SHA-2.

Il dispose des fonctionnalités suivantes :

• La supervision de la disponibilité des rôles de serveur
• La supervision de l’état de santé des services clés
• La supervision de l’état santé de la réplication SQL intersites
• La collection et la supervision des compteurs de performances des serveurs ConfigMgr
• Un diagramme topologique de la hiérarchie de site ConfigMgr
• Des rapports montrant l’état de disponibilité et les performances des serveurs ConfigMgr
• Supervision de l’état des alertes dans ConfigMgr

En outre, vous devez activer le mode proxy sur les agents des machines ConfigMgr supervisées. Pour plus d'information sur les classes, règles et moniteurs par rôle, vous pouvez lire la documentation et l'appendix.

Télécharger System Center Monitoring Pack for System Center Configuration Manager

L’équipe ConfigMgr a publié un correctif (KB4517869) à destination de System Center Configuration Manager 1906. Le correctif s’applique au serveur de site, aux consoles, et aux clients.

Note : les sites secondaires doivent être mis à jour manuellement et une procédure permet de vérifier la mise à jour effective de leurs bases de données.

Parmi les corrections, on retrouve :

Administration

• Les données d'appartenance à un groupe sont supprimées si le processus de découverte de groupe Active Directory échoue avec l'erreur suivante enregistrée dans le fichier adgdis.log
  INFO: Processing search path: 'LDAP://<search path>.
  ERROR: Decryption failed
  ERROR: Failed to enumerate directory objects in AD container LDAP://<search path
• Il inclut aussi la KB 4515740: Custom security roles lose folder permissions after an update to Configuration Manager current branch, version 1906

Systèmes de site et serveurs de site

• Un Management Point ne peut pas se connecter à un replica en lecture seule dans les environnements utilisant les groupes de disponibilité de SQL Server Always On..

Gestion de contenu et de la distribution de logiciels

• Un Cloud Distribution Point peut maintenant être défini comme la source de contenu d'un Pulli Distribution Point sur le site central d'administration (CAS).
• Les paramètres ACP (Alternate Content Provider) ne sont pas définis comme prévu dans la stratégie pour les paramètres client personnalisés. Les clients concernés doivent supprimer les paramètres personnalisés d'origine du client, puis les recréer après l'installation de cette mise à jour.
• Les caractères spéciaux, tels qu'une apostrophe, dans les métadonnées provoquent l'échec de l'évaluation des groupes d'applications. Le fichier SettingsAgent.log contient des entrées similaires aux suivantes : Error 0x80040e14 occurred when executing 'INSERT SettingProperties(SAId, Name, LanguageId, Value) VALUES(1, 'InfoUrlText', 0, 'What's new')

Déploiement de système d’exploitation

• L'éditeur de séquences de tâches peut renvoyer une erreur de mémoire insuffisante lorsque vous essayez d'enregistrer des séquences de tâches volumineuses.

Console d’administration

• La console ConfigMgr peut se terminer inopinément après avoir réévalué les règles de Management Insight ou synchronisé les mises à jour tierces.
• Windows Server 2019 s'affiche comme Inconnu dans le tableau de bord Microsoft Defender Advanced Thread Protection.

Pour installer la mise à jour, rendez-vous dans la partie Updates and Servicing de la console d’administration.

Plus d’informations sur la KB4517869 Update Rollup for System Center Configuration Manager current branch, version 1906

L’équipe du support Microsoft Intune a communiqué à propos d’un problème touchant l’application Adobe Reader sur iOS qui n’honore pas correctement le paramétrage des stratégies de protection applicative (APP) de Microsoft Intune pour bloquer sauvegarde de données de l’entreprise vers Adobe Document Cloud.

Pour bloquer cette fonction, il est possible d’utiliser la clé de configuration 'allowDocumentCloudFSAndServicesAccess' et la valeur ‘false’. Ceci permet d’empêcher l’utilisateur d’accéder à l’option 'Save to Adobe Document Cloud'.

Vous devez pour cela utiliser une stratégie de configuration applicative.

Microsoft travaille avec Adobe pour résoudre le problème.

Source : Support Tip: Block document saving from the iOS Adobe Reader mobile app to the Adobe Document Cloud

En Janvier 2016, Microsoft a consolidé sa stratégie sur Internet Explorer 11 et a annoncé en 2019, l’arrivé d’Internet Explorer 11 sur Windows Server 2012 et Windows Embedded 8 Standard afin de permettre aux clients de se débarrasser d’Internet Explorer 10.

Après des mois de développement, le travail est complété et Internet Explorer 11 est disponible sur Windows Update, le catalogue Microsoft Update, WSUS, ainsi que System Center Configuration Manager sous l’un des noms suivants :

• Internet Explorer 11 for Windows Server 2012 for x64 based systems
• Internet Explorer 11 for Windows Embedded 8 Standard for x64 based systems
• Internet Explorer 11 for Windows Embedded 8 Standard for x86 based systems

Les entreprises ont jusqu’à Janvier 2020 pour installer Internet Explorer 11. Passé cette date, IE 10 ne se verra plus proposé de mises à jour de sécurité.

Plus d’informations sur : Bringing Internet Explorer 11 to Windows Server 2012 and Windows Embedded 8 Standard

Un an après sa première série, Steve Rachui (MSFT) a publié une nouvelle vidéo tutorial pour expliquer le fonctionnement du dépannage des séquences de tâches de System Center Configuration Manager avec le nouveau Debugguer de Séquence de tâches (Task Sequence Debugguer)

La vidéo : https://youtu.be/geSbnwfrAvg

L’équipe Exchange vient de publier le 14ème Cumulative Update (CU14) (15.01.1847.003) pour Exchange Server 2016. Microsoft a changé la stratégie d’assistance sur le cycle de vie d’Exchange ne nécessitant plus l’application des derniers Cumulative Update pour être supporté.

Il apporte les changements suivants :

• 4515255 “X-InnerException: Microsoft.Mapi.MapiExceptionRpcServerTooBusy” error when you try to use a mailbox in Exchange Server 2016
• 4515254 Event 1009 frequently occurs in application logs for lagged database copies in Exchange Server 2016
• 4502159 Adding or removing mailbox permission in EAC doesn’t address the msExchDelegateListLink attribute in Exchange Server 2016
• 4515276 Room mailbox accepts a meeting as “Free” if a booking delegate is set in Exchange Server 2016
• 4515275 Enable Get/Restore-RecoverableItems to work with Purges folder in Exchange Server 2016
• 4515274 AutodiscoverV2 request returns REST API endpoint not AutoDiscoverV1 endpoint in Exchange Server 2016
• 4515269 SentToMemberOf shows every recipient type not distribution groups when creating transport rule in Exchange Server 2016
• 4515272 Message is blocked in “SMTP Delivery to Mailbox” queue if exchange server is added in groups of a child domain in Exchange Server 2016
• 4515271 Can’t convert a migrated remote user mailbox to shared in Exchange Server 2016
• 4515270 SubmissionQueueLengthMonitor shows “System.ArgumentException: Transition timeout…” in Exchange Server 2016
• 4515267 NDR occurs when you resend message from alternate journaling mailbox to journaling mailbox in Exchange Server 2016
• 4515265 Removing In-Place Hold doesn't work for mailboxes in different domains in Exchange Server 2016
• 4515264 FindPeople request from Skype for Business on Mac fails with "Invalid Shape Specification" in Exchange Server 2016
• 4515263 Hide the "Validate-MailFlowThroughFrontDoor" command for Exchange Server 2016
• 4515262 Enable Remove-MobileDevice to delete mobile devices after migrating to Office 365 from Exchange Server 2016
• 4515261 Can’t copy eDiscovery search results for mailboxes with Exchange online archives in Office 365 in Exchange Server 2016
• 4515273 Mailbox auditing fails when you use SHA1Managed in Exchange Server 2016
• 4515266 Infinite loop in Recurrence.GetNumberOfYearsBetween() with the Japanese calendar in Exchange Server 2016
• 4520319 S/MIME signed reply draft behaves like the first message in conversation in Exchange Server 2016
• 4515832 Description of the security update for Microsoft Exchange Server 2019 and 2016: September 10, 2019

Plus d’informations sur : https://support.microsoft.com/en-us/help/4514140/cumulative-update-14-for-exchange-server-2016  

Télécharger :

• Cumulative Update 14 for Exchange Server 2016 (KB4514140)
• Exchange Server 2016 CU14 UM Language Packs

L’équipe Exchange vient de publier le 3ème Cumulative Update (CU3) pour Exchange Server 2019. Microsoft a changé la stratégie d’assistance sur le cycle de vie d’Exchange ne nécessitant plus l’application des derniers Cumulative Update pour être supporté.

Il apporte les changements suivants :

• 4515257 Hash mismatch is reported for Exchange DLLs in the bin directory of Exchange Server 2019
• 4513500 Can't sign in to OWA or EAC after you install Exchange Server 2019 CU2 with AD FS
• 4502159 Adding or removing mailbox permission in EAC doesn’t address the msExchDelegateListLink attribute in Exchange Server 2019 and 2016
• 4515276 Room mailbox accepts a meeting as “Free” if a booking delegate is set in Exchange Server 2019 and 2016
• 4515275 Enable Get/Restore-RecoverableItems to work with Purges folder in Exchange Server 2019 and 2016
• 4515274 AutodiscoverV2 request returns REST API endpoint not AutoDiscoverV1 endpoint in Exchange Server 2019 and 2016
• 4515269 SentToMemberOf shows every recipient type not distribution groups when you create transport rule in Exchange Server 2019 and 2016
• 4515272 Message is blocked in “SMTP Delivery to Mailbox” queue if exchange server is added in groups of a child domain in Exchange Server 2019 and 2016
• 4515271 Can't convert a migrated remote user mailbox to shared in Exchange Server 2019 and 2016
• 4515270 SubmissionQueueLengthMonitor shows “System.ArgumentException: Transition timeout…” in Exchange Server 2019 and 2016
• 4515267 NDR occurs when you resend message from alternate journaling mailbox to journaling mailbox in Exchange Server 2019 and 2016
• 4515265 Removing In-Place Hold doesn't work for mailboxes in different domains in Exchange Server 2019 and 2016
• 4515264 FindPeople request from Skype for Business on Mac fails with "Invalid Shape Specification" in Exchange Server 2019 and 2016
• 4515263 Hide the "Validate-MailFlowThroughFrontDoor" command for Exchange Server 2019 and 2016
• 4515262 Enable Remove-MobileDevice to delete mobile devices after migrating to Office 365 from Exchange Server 2019 and 2016
• 4515261 Can't copy eDiscovery search results for mailboxes with Exchange online archives in Office 365 in Exchange Server 2019 and 2016
• 4515273 Mailbox auditing fails when using SHA1Managed in Exchange Server 2019 and 2016
• 4515266 Infinite loop in Recurrence.GetNumberOfYearsBetween() with the Japanese calendar in Exchange Server 2019 and 2016
• 4520319 S/MIME signed reply draft behaves like the first message in conversation in Exchange Server 2019 and 2016
• 4515832 Description of the security update for Microsoft Exchange Server 2019 and 2016: September 10, 2019

Plus d’informations sur : https://support.microsoft.com/en-us/help/4514141/cumulative-update-3-for-exchange-server-2019

Pour télécharger le Correctif Cumulatif, vous devez passer par le portail Microsoft Volume Licensing Center.

Microsoft a annoncé que Windows 10 1909 ou Mise à jour de Novembre 2019 ou 19H2 est prête à être publiée. La version a été proposée aux utilisateurs du programme Windows Insider qui participent au mode Release Preview. La version est la Build 18363.418. Fait intéressant, Windows 10 1903 et 1909 partagent le même contenu de maintenance et les mêmes packages de mises à jour cumulatives. C’est pourquoi le numéro de mise à jour cumulative (418) est le même pour la version à jour à date de Windows 10 1903 et 1909.

Si vous souhaitez sauter le pas avant la publication officiel, vous pouvez lire ce billet : Getting the November 2019 Update Ready for Release

Microsoft vient de publier un pack d’administration ou Management Pack (MP) SCOM en version 1.9.2.0 pour superviser Advanced Threat Analytics. Il fonctionne avec SCOM 2012 R2 ou plus. System Center Operations Manager (SCOM) fait partie de la gamme System Center, il propose une supervision souple et évolutive de l’exploitation au niveau de toute l’entreprise, réduisant la complexité liée à l’administration d’un environnement informatique, et diminuant ainsi le coût d’exploitation. Ce logiciel permet une gestion complète des événements, des contrôles proactifs et des alertes, et assure une gestion des services de bout en bout. Il établit des analyses de tendance et des rapports, et contient une base de connaissances sur les applications et le système.

Ce management pack fournit les fonctionnalités suivantes :

• Supervision de l’état du service ATA Center
• Supervision de l’état du service ATA Database
• Supervision de l’état du service ATA Gateway
• Supervision de l’état du service ATA Gateway Updater
• Supervision de la performance ATA Center avec les compteurs de performance clés.
• Supervision de la performance ATA Gateway avec les compteurs de performance clés.
• Supervision des problèmes de santé sur l’état provenant de l’ATA Health Center
• Supervision des activités suspicieuses.

Télécharger Microsoft Advanced Threat Analytics Management Pack

Desktop Analytics étant un service comme Microsoft Intune, on retrouve des mises à jour de service continuelle. Comme pour Microsoft Intune, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

• Lors de la phase d’onboarding, vous pouvez migrer vos données d’un workspace Windows Analytics existants vers Desktop Analytics. Parmi les données migrées, on retrouve l’importance des applications, les propriétaires des applications. Cependant les décisions de mise à niveau, les plans de test et les résultats de test ne sont pas migrés. Il est à noter qu’il n’est pas de migrer plusieurs Workspace Windows Analytics et cette action ne peut être réalisée que lors de la phase d’onboarding. Vous ne pouvez pas le faire après la mise en place du service.
• Il est maintenant possible d’arrêter son service Desktop Analytics et fermer son compte. Vous avez ensuite jusqu’à 90 jours pour le rouvrir avant la suppression complète des données.

Plus d’informations sur : What’s new in Desktop Analytics