Microsoft a publié un article dans la base de connaissance concernant un problème touchant le chiffrement silencieux des disques avec BitLocker sur des machines Windows 1809 jointes à Azure Active Directory. Le chiffrement démarre bien puis s’arrête sans chiffrer aucun des disques.

Ceci touche tous les scénarios :

• Chiffrement lors du déploiement avec Windows Autopilot
• Chiffrement via les stratégies Microsoft Intune
• Chiffrement lors de la jointure automatique à Azure Active Directory via des périphériques compatibles Connected Standby

Pour les périphériques joints à Azure AD, le paramètrage AllowWarningForOtherDiskEncryption du CSP BitLocker contrôle si les utilisateurs sont invités à désactiver d'autres méthodes de chiffrement de disque si la stratégie de groupe requiert le chiffrement de disque BitLocker. Si AllowWarningForOtherDiskEncryption est réglé sur 0, le message d'avertissement est désactivé et le processus de cryptage BitLocker s'exécute en silence.

Si les autres méthodes de chiffrement ne sont pas désactivées, le processus de chiffrement ne peut pas sauvegarder la clé de restauration BitLocker sur Azure AD. Cet échec, à son tour, provoque l'arrêt du processus de chiffrement sans chiffrer les lecteurs. Ce problème se produit quel que soit le niveau d'autorisation de l'utilisateur sur l'ordinateur.

Pour contourner le problème, Microsoft recommande de chiffrer manuellement la machine via le panneau de configuration.

Microsoft a publié la mise à jour corrigeant ce problème : May 21, 2019—KB4497934 (OS Build OS 17763.529)

Source : https://support.microsoft.com/en-us/help/4501517/bitlocker-cannot-silently-encrypt-drives-on-azure-ad-joined-devices

Microsoft propose une nouvelle préversion (1.2019.522.0) de son outil de packaging MSIX (MSIX Packing Tool) depuis le Microsoft Store. Cet outil permet de prendre un package d’application Win32 existant et de la convertir au format MSIX. Vous utilisez pour cela une machine de référence pour exécuter l’outil et obtenir le package MSIX que vous pouvez ensuite déployer à la main, par votre outil de télédistribution ou depuis le Microsoft Store.

Pour rappel, le format MSIX est un nouveau format standardisé lancé par Microsoft pour remplacer l’ensemble des formats de packaging existants tout en bénéficiant des avancés des différentes solutions : Click-To-Run (C2R), App-V, APPX et plus généralement du Framework d’applications universelles (UWP). Il offre donc des mécanismes de conteneurisation et les bénéfices des applications universelles avec une installation, mise à jour et désinstallation aisée sans laisser aucune trace sur le système. Il fournit aussi des mécanismes de sécurisation avancés permettant de valider l’intégrité du code exécuté. Ce format permet aussi de créer des personnalisations pour les applications packagées et de les faire perdurer au travers des différentes mises à jour de l’application.

Pas de nouveautés dans cette préversion mais une amélioration des fonctionnalités déjà introduite précédemment :

• Support des installeurs Win32 qui requièrent des redémarrages. Une option permettant de faire de l’auto-connexion après un redémarrage est disponible
• De nouvelles options dans les paramétrages d’application pour :
  • Spécifier un certificat par défaut et signer des packages avec
  • Spécifier un code de sortie pour les installeurs qui nécessite un redémarrage
• Corrections de bugs et améliorations

Plus d’informations sur : MSIX Packaging Tool (Preview) is now available from the Microsoft Store

Plus d'éléments sur le format MSIX sur MSIX Intro

Télécharger MSIX Packing Tool

Microsoft vient d’annoncer la mise à disposition d’un nouvel ensemble de fonctionnalités pour Microsoft Intune.

Les fonctionnalités suivantes sont ajoutées :

Enregistrement des périphériques

• [Windows 10] Disponibilité Générale de la page d’état d’enregistrement (Enrollment Status Page).

• [Windows 10] L’interface permettant la création d’un profile d’enregistrement Autopilot a été mis à jour pour s’aligner avec les styles d’interface d’Azure.
• [iOS] Changement dans la méthode d’authentification pour les périphériques enregistrés via Apple Configurator, Apple Business Manager, Apple School Manager, et Apple Device Enrollment Program (DEP). Microsoft Intune ne supportera plus le portail d’entreprise s’il est installé manuellement par l’utilisateur lorsque l’authentification a lieu via Setup Assistant lors de l’enregistrement. Plus d’informations sur : Mise à jour du workflow d’authentification des périphériques iOS d’entreprise avec Setup Assistant.
• [iOS] La suppression d’un périphérique à partir des portails Apple Device Enrollment Program ou Apple Business Manager est répliquée dans Microsoft Intune lors de la prochaine synchronisation.

Gestion du périphérique

• [Général] Vous n’avez plus besoin d’inclure les espaces dans les numéros IMEI lors de la recherche dans la vue All Devices.
• [Windows 10] La fonctionnalité Autopilot Reset fonctionne maintenant pour tous les périphériques et plus uniquement ceux qui ne sont pas configurés pour utiliser la page d’enregistrement d’état (ESP). Si aucune page d'état d'inscription n'a été configurée pour le périphérique lors de l’enregistrement initial, le périphérique ira directement sur le bureau après la connexion. Cela peut prendre jusqu'à huit heures pour se synchroniser et paraître conforme dans Intune.

Configuration du périphérique

• [Général] Public Preview permettant d’utiliser Intune pour gérer les tâches de sécurité pour Microsoft Defender Advanced Threat Protection (ATP). Cette intégration avec ATP ajoute une approche basée sur les risques pour découvrir, prioriser et corriger les vulnérabilités et les erreurs de configuration des périphériques, tout en réduisant le temps entre la découverte et l'atténuation.

• [Windows 10] Un nouveau paramétrage de conformité permet de vérifier la version de la puce TPM sur le périphérique.

• [Windows 10] Vous pouvez configurer les scripts PowerShell pour qu'ils s'exécutent avec les privilèges d'administrateur de l'utilisateur sur le périphérique.

• [Windows 10] Microsoft a ajouté en Preview une baseline de sécurité pour Microsoft Defender Advanced Threat Protection (ATP).
• [iOS] Support de Network Access Control par F5 Access sur les périphériques iOS. Ce supporte st apporté par la mise à jour de BIG-IP 13.1.5 (Notez que BIG-IP 14 n’est pas supporté). Vous devez ensuite intégrer BIG-IP avec Intune pour NAC et cochez le paramétrage Enable Network Access Control (NAC) sur le profile VPN dans Microsoft Intune.

• [iOS] Vous pouvez empêcher l’utilisateur de modifier le partage de connexion personnel (supervisé uniquement) et désactiver la journalisation du serveur Siri. Ceci se fait via la création d’une stratégie de restriction (Device configuration > Profiles > Create profile > iOS comme plateforme > Device restrictions pour le type de profil).

• [iOS] Le paramétrage Password to access app store est renommé Require iTunes Store password for all purchases dans Device configuration > Profiles > Create profile > iOS pour plateforme > Device restrictions comme type de profil > App store, Doc viewing, and Gaming.
• [macOS] Nouveau paramétrage de restriction de périphériques pour l’application classroom. Ces paramétrages disponibles dans Device configuration > Profiles > Create profile > macOS comme plateforme > Device restrictions comme type de profile, permettent de bloquer les sceenshots, et de désactiver la librairie photo iCloud.

Gestion des applications

• [Android/iOS] Vous pouvez configurer comment l’utilisateur final met à jour des applications métiers via les stratégies de protection d’applications. Les utilisateurs finaux verront cette fonction dans la boîte de dialogue de lancement conditionnel avec la version minimale de l'application, qui les invitera à mettre à jour l'application métier. Vous devez fournir ces détails de mise à jour dans le cadre de votre stratégie de protection des applications (APP/MAM). Sous iOS, cette fonctionnalité nécessite que l'application soit intégrée (ou encapsulée à l'aide de l'outil de wrapping) avec le SDK Intune pour iOS v. 10.0.7 ou supérieur. Sur Android, cette fonctionnalité nécessite la dernière version du Portail d'entreprise. Pour configurer la façon dont un utilisateur final met à jour une application métier, l'application a besoin d'une stratégie de configuration d'application gérée qui lui est envoyée avec la clé com.microsoft.intune.myappstore. La valeur envoyée définira de quel magasin l'utilisateur final téléchargera l'application. Si l'application est déployée via le Portail d'entreprise, la valeur doit être CompanyPortal. Pour tout autre magasin, vous devez saisir une URL complète.
• [Android/iOS] Vous pouvez spécifier si la signature par défaut est activée dans Outlook sur iOS et Android. Vous pouvez aussi laisser l’utilisateur changer les paramétrages biométriques dans Outlook sur iOS.
• [Android] Pour faciliter la configuration et l'utilisation de la gestion d'Android Enterprise par les administrateurs, Intune ajoutera automatiquement quatre applications Android Enterprise communes à la console d'administration d'Intune :
  • Microsoft Intune - Utilisé pour les scénarios entièrement gérés d'Android Enterprise.
  • Microsoft Authenticator - Vous aide à vous connecter à vos comptes si vous utilisez la vérification à deux facteurs.
  • Intune Company Portal - Utilisé pour les politiques de protection des applications (APP) et les scénarios Android Enterprise Work Profile.
  • Managed Home Screen- Utilisé pour les scénarios Android Enterprise dédiés/kiosk.

Pour les entreprises qui ont déjà connecté leur tenant ou qui utilisent déjà Android Enterprise, il n'y a rien à réaliser. Ces quatre applications apparaîtront automatiquement dans les 7 jours suivant la fin du déploiement du service en mai 2019.

Supervision et Dépannage

• [Windows 10] Le rapport de chiffrement des périphériques et BitLocker est en disponibilité générale.

Plus d’informations sur : https://docs.microsoft.com/en-us/intune/whats-new

Microsoft a publié des cours gratuits sur la plateforme EDX permettant de se préparer aux dernières certifications Microsoft Azure. Notez que les cours pour les certifications AZ-100/AZ-101 et AZ-200/AZ-201 qui ont été fusionnées respectivement en AZ-103 et AZ-203 n’ont pas été revus.

Voici la liste des cours :

AZ-100: Microsoft Azure Infrastructure and Deployment

• AZ-100.1 Manage Subscriptions and Resources
• AZ-100.2 Implementing and Managing Storage
• AZ-100.3 Deploying and Managing Virtual Machines
• AZ-100.4 Configuring and Managing Virtual Networks
• AZ-100.5 Managing Identities

AZ-101: Microsoft Azure Integration and Security

• AZ-101.1 Migrate Servers to Azure
• AZ-101.2 Implementing and Managing Application Services
• AZ-101.3 Implement Advanced Virtual Networking
• AZ-101.4 Secure Identities

AZ-200: Microsoft Azure Developer Core Solutions

• AZ-200.1 Select the appropriate Azure technology development solution
• AZ-200.2 Develop for Azure storage
• AZ-200.3 Develop Azure Platform as a Service solutions
• AZ-200.4 Implement security in Azure development solutions

AZ-201: Microsoft Azure Developer Advanced Solutions

• AZ-201.1 Develop for an Azure cloud model
• AZ-201.2 Implement Azure development integration solutions
• AZ-201.3 Develop Azure Cognitive Services, Bot, and IoT solutions

AZ-300: Microsoft Azure Architect Technologies

• AZ-300.1 Deploying and Configuring Infrastructure
• AZ-300.2 Implementing Workloads and Security
• AZ-300.3 Understanding Cloud Architect Technology Solutions
• AZ-300.4 Creating and Deploying Apps
• AZ-300.5 Implementing Authentication and Secure Data
• AZ-300.6 Developing for the Cloud

AZ-301: Microsoft Azure Architect Design

• AZ-301.1 Designing for Identity and Security
• AZ-301.2 Designing a Data Platform Solution
• AZ-301.3 Designing for Deployment, Migration, and Integration
• AZ-301.4 Designing an Infrastructure Strategy

AZ-500: Microsoft Azure Security Technologies

• AZ-500.0 Microsoft Azure Security Technologies

AZ-900: Microsoft Azure Fundamentals

• AZ-900 Microsoft Azure Fundamentals

Microsoft a publié des cours gratuits sur la plateforme EDX permettant de se préparer aux dernières certifications Windows 10 et Microsoft 365.

Voici la liste des cours :

MD-100: Windows 10

• MD-100.1 installing Windows 10
• MD-100.2 Configuring Windows 10
• MD-100.3 Protecting Windows 10
• MD-100.4 Maintaining Windows 10

MD-101: Managing Modern Desktops

• MD-101.1 Deploying the Modern Desktop
• MD-101.2 Managing Modern Desktops and Devices
• MD-101.3 Protecting Modern Desktops and Devices

MS-100: Microsoft 365 Identity and Services

• MS-100.1 Office 365 Management
• MS-100.2 Microsoft 365 Tenant and Service Management
• MS-100.3 Microsoft 365 Identity Management

MS-101: Microsoft 365 Mobility and Security

• MS-101.1 Microsoft 365 Security Management
• MS-101.2 Microsoft 365 Compliance Management
• MS-101.3 Microsoft 365 Device Management

MS-200: Planning and Configuring a Messaging Platform

• MS-200.1 Understanding the Modern Messaging Infrastructure
• MS-200.2 Managing Client Access and Mail Flow
• MS-200.3 Managing High Availability and Disaster Recovery

MS-201: Implementing a Hybrid and Secure Messaging Platform

• MS201.1 Defining a Hybrid Messaging Strategy
• MS201.2 Managing Message Security, Hygiene and Compliance

MS-300: Deploying Microsoft Teamwork

• MS-300.1 Managing Office 365 Content Services
• MS-300.2 Managing SharePoint Online
• MS-300.3 Enabling Microsoft Teams for Collaboration
• MS-300.4 Enabling Office 365 Workloads for Collaboration

MS-301: Deploying SharePoint Server Hybrid

• MS-301.1 Implementing ShrePoint 2019 Infrastructure
• MS-301.2 Implementing SharePoint 2019 Service Applications
• MS-301.3 Implementing SharePoint Hybrid Scenarios
• MS-301.4 Migrating to SharePoint Online

MS-500: Microsoft 365 Security Administration

• MS-500.1 Managing Microsoft 365 Identity and Access
• MS-500.2 Implementing Microsoft 365 Threat Protection
• MS-500.3 Implementing Microsoft 365 Information Protection
• MS-500.4 Administering Microsoft 365 Built-in Compliance

MS-900: Microsoft 365 Fundamentals

• MS-900.1 Microsoft 365 Fundamentals

Alan Meeus (Product Marketing Manager, Windows Commercial) et Joe Lurie (Senior Product Marketing Manager, Windows Commercial) vont proposer un webcast suivi d’une session de questions/réponses. Cet évènement aura lieu le mardi 28 mai 2019 de 19h à 20h (heure française).

• Les derniers apports de Microsoft Defender ATP et les technologies antivirus de nouvelle génération.
• Les nouveautés pour prendre en charge la protection contre les menaces et la protection de l'identité.
• De nouveaux outils et stratégies pour vous aider à faire face plus rapidement aux tâches communes de configuration et de gestion.

Pour s’inscrire : https://info.microsoft.com/US-NOGEP-WBNR-FY19-05June-17-ON24VirtualEvent-1996_01Registration-ForminBody.html

Microsoft vient de mettre à disposition la Technical Preview 1905 (5.0.8827.1000) de System Center Configuration Manager. Pour rappel, ConfigMgr a subi une refonte de sa structure pour permettre des mises à jour aisées de la même façon que l’on peut le voir avec Windows 10. Si vous souhaitez installer cette Technical Preview, vous devez installer la Technical Preview 1804 puis utiliser la fonctionnalité Updates and Servicing (nom de code Easy Setup).

System Center Configuration Manager TP 1905 comprend les nouveautés suivantes :

Administration

• Amélioration de la console d’administration pour inclure :
  • Sur le nœud Device, vous pouvez sélectionner un périphérique et dans le panneau de détails ; un nouvel onglet Collections vous permet de lister toutes les collections dans lesquelles le périphérique est inclus. Cette fonction n’est pas disponible sous le nœud Device Collections.
  • Si vous sélectionnez une application dans la partie Software Library et Applications, le panneau de détail affiche un onglet Task Sequence qui référence les séquences de tâches où l’application est référencée.
  • Dans l’espace de travail Monitoring puis Script Status, il liste maintenant le nom des collections en plus des identifiants.
  • Vous pouvez démarrer CMPivot depuis un le nœud correspondant à la collection que vous avez ouverte dans la vue Device Collections.
  • Dans l'espace de travail Monitoring, sélectionnez le nœud Deployments. Sélectionnez un déploiement et choisissez l'action Afficher l'état dans le ruban. Dans le volet d'état de déploiement, double-cliquez sur les ressources totales pour accéder à une liste de périphériques. Lorsque vous sélectionnez un périphérique dans cette liste, vous pouvez maintenant lancer CMPivot et des scripts.
  • Dans l'espace de travail Monitoring, sélectionnez le nœud Cloud Management. Les couleurs dans les donuts pour les clients actuellement en ligne sont maintenant les mêmes que dans le graphique des clients en ligne (30 derniers jours).
  • Dans l'espace de travail Software Library, développez Application Management, puis sélectionnez le nœud Packages. Sélectionnez plus d'un package. Dans le groupe package du ruban, vous pouvez maintenant supprimer plusieurs packages à la fois.
  • Dans les nœuds Devices et Device Collections, vous pouvez maintenant ajouter une nouvelle colonne pour le SMBIOS GUID.
• Le tableau de bord Client Data Sources inclut maintenant les données relatives à Delivery Optimization. Les données ne remontent que celles relatives aux installations des mises à jour express Windows 10.
• Le hub communautaire déjà introduit dans des versions précédentes, se voit enrichi. Il permet maintenant la récupération de séquences de tâches, applications, et objets de configuration. Le hub permet de partager ces objets, mais ne partage aucun contenu source associé aux objets. Par exemple, les images de démarrage, les packages de mise à niveau du système d'exploitation ou les packages de pilotes référencés par une séquence de tâches ne sont pas partagés. Actuellement, le hub ne prend pas en charge les dépendances. Si une séquence de tâches inclut l'étape Installer l'application, les applications référencées ne sont pas partagées. Les mots de passe ou autres secrets sont supprimés d'une séquence de tâches avant le partage.
• Le Management Point vérifie toutes les cinq minutes l'état de santé de son service utilisateur. Il signale tout problème via des messages de statut pour le composant de site SMS_MP_CONTROL_MANAGER. Le service utilisateur est utilisé par le Software Center pour les applications en libre-service destinées aux utilisateurs. A partir de ConfigMgr 1906, le client utilisera le Management Point plutôt que les rôles de catalogue d’applications. Il ne sera plus possible d’installer ces rôles à partir de ConfigMgr 1910.
• Vous pouvez maintenant créer des collections sur la base d’un groupe Azure Active Directory. Les membres de la collection sont ainsi automatiquement synchronisés en fonction des membres du groupe Azure Active Directory (statique ou dynamique). Seuls les périphériques ayant un enregistrement Azure Active Directory sont pris en compte dans le groupe Azure AD. Les appareils Hybrid Azure AD Joined et Azure Active Director Joined sont supportés.
• Vous pouvez maintenant spécifier la durée minimale pendant laquelle le client Configuration Manager doit conserver le contenu mis en cache. Ce paramètre client contrôle la durée pendant laquelle le client stocke le contenu dans le cache avant de le supprimer. Dans le groupe Client cache settings des paramètres client, configurez les paramètres suivants : Minimum duration before cached content can be removed (minutes).

Client

• OneTrace est une nouvelle visionneuse de journaux inclue dans Support Center. Il fonctionne de manière similaire à CMTrace. Ils fonctionnent avec les logs ConfigMgr, les messages d’état, et les logs Windows Update.
• Vous pouvez maintenant ajouter jusqu'à cinq onglets personnalisés dans le Software Center. Vous pouvez également modifier l'ordre dans lequel ces onglets apparaissent dans le Software Center.
• Il est maintenant possible de configurer plus de notifications de compte à rebours pour les redémarrages sur les clients. On retrouve deux paramétrages dans les paramétrages client : Specify the snooze duration for computer restart countdown notifications (hours) et Display a temporary notification to the user that indicates the interval before the user is logged off or the computer restarts (minutes).

Déploiement d’applications

• L’administrateur peut créer des groupes d’applications qui peuvent être déployés comme une seule entité à l’utilisateur ou la machine. Les métadonnées du groupe d’applications sont vues comme une seule entité dans le Software Center. L’administrateur peut ordonnancer les applications dans le groupe afin de les installer dans un ordre spécifique.
• Dans la foulée des groupes d’applications, Microsoft permet la création de séquence de tâches d’installation d’applications complexes via le modèle d’application. L’administrateur peut spécifier un type de déploiement pour installer ou désinstaller une application. Cette fonctionnalité permet de déployer la séquence de tâches à une collection d’utilisateur par exemple et de spécifier des métadonnées et une icône qui seront utilisées dans le Software Center/Centre Logiciels.
  L’administrateur ne peut spécifier que des tâches non relatives à du déploiement de système d’exploitation.

• Amélioration du processus d’approbation des applications :
  • Si vous approuvez une demande d'application dans la console, puis la refusez, vous pouvez maintenant l'approuver à nouveau. L'application est réinstallée sur le client une fois que vous l'avez approuvée.
  • Dans la console, le nœud Approval Requests est renommé Applications Requets.
  • Il y a une nouvelle méthode WMI, DeleteInstance pour supprimer une demande d'approbation d'application. Cette action ne désinstalle pas l'application sur le périphérique. Si elle n'est pas déjà installée, l'utilisateur ne peut pas installer l'application à partir du Software Center.
  • Appelez l'API CreateApprovedRequest pour créer une demande pré-approuvée pour une application sur un appareil. Pour empêcher l'installation automatique de l'application sur le client, définissez le paramètre AutoInstall sur FALSE. L'utilisateur voit l'application dans le Software Center, mais elle n'est pas installée automatiquement.
• Vous pouvez maintenant réessayer l'installation d'une application que vous avez déjà approuvée pour un utilisateur ou un périphérique. L'option d'approbation ne s'applique qu'aux déploiements disponibles. Si l'utilisateur désinstalle l'application, ou si le processus d'installation initiale échoue, Configuration Manager ne réévalue pas son état et ne le réinstalle pas. Cette fonction permet à un technicien du support technique de réessayer rapidement l'installation de l'application pour un utilisateur qui solliciterait son aide.
• Depuis la console Configuration Manager, vous pouvez maintenant installer des applications sur un périphérique en temps réel. Cette fonction peut aider à réduire le besoin de collections séparées pour chaque application. Elle requiert certains prérequis.

Gestion des mises à jour logicielles

• C’est un des points que j’adressais avec l’un des scripts décrit dans mon article sur la maintenance/nettoyage de WSUS ; Microsoft ajoute maintenant la capacité de supprimer les mises à jour obsolètes de la base de données WSUS.
• Vous pouvez maintenant spécifier le temps maximum d’installation attribuée à des mises à jour. Ce paramètre se spécifie au niveau des paramètres du composant Software Update Point. Il change le temps maximum d’exécution pour les nouvelles mises à jour synchronisées. Auparavant, il devait être modifié sur chaque mise à jour. Il impacte l’ensemble des mises à jour associées à la catégorie. On retrouve :
  • Features Updates qui inclut les trois classifications : Upgrades, Update Rollups, Service Packs
  • Non-Feature Updates qui inclut une mise à jour qui n’est pas comprise dans la catégorie Features Updates et pour l’un des produits suivants : Windows 10 (toutes versions), Windows Server 2012, Windows Server 2012 R2, Windows Server 2016, Windows Server 2019, et Office 365.

Note : La fonctionnalité est listée mais non visible dans la console.

Déploiement de système d’exploitation

• C’est un projet sur lequel j’ai travaillé il y a deux ans maintenant à un MVP Summit avec Microsoft. Cela prend enfin forme directement dans le produit puisque Microsoft intègre le Task Sequence Debugger pour vous aider à dépanner une séquence de tâches sur un périphérique. Il vous suffit de sélectionner l’option Debug au moment du déploiement de la séquence de tâches. Le Debugger permet de contrôler d’une manière à vous aider à dépanner et investiguer. Vous pouvez spécifier des points de pause puis avancer, reculer, faire de l’étape par étape, etc.
  Note : Le Debugger ne marche pour l’instant que dans Windows PE.
• Déjà introduit dans la TP1904, il est maintenant possible de précharger dans le cache les packages tout comme les images de système d’exploitation et les packages de drivers. Ceci s’ajoute aux packages de mise à jour de système d’exploitation afin de mieux contrôler l’usage de la bande passante.
• L'étape Disable BitLocker a un nouveau compteur de redémarrage. Utilisez cette option pour spécifier le nombre de redémarrages nécessaires pour que BitLocker reste désactivé. Cette modification simplifie votre séquence de tâches. Vous pouvez utiliser une seule étape, au lieu d'ajouter plusieurs instances de cette étape.
• Vous pouvez ajouter via l’installeur Configuration Manager, un second nœud réplica sur un groupe de disponibilité AlwaysOn de SQL Server. Il n’est plus nécessaire de réaliser ces actions manuellement.

Gestion des paramétrages et de la conformité

• Annoncé il y a quelques semaines, Microsoft démarre le début de l’intégration des fonctionnalités de gestion de BitLocker proposées par Microsoft BitLocker Administration and Monitoring (MBAM).
• Un nouveau paramétrage de stratégie Windows Defender Application Guard permet d’ouvrir des fichiers de confiance sur l’hôte, qui devraient normalement être ouvert dans l’environnement virtuel Application Guard. Ceci s’applique à Windows 10 1809.

Plus d’informations sur : https://docs.microsoft.com/en-us/sccm/core/get-started/2019/technical-preview-1905

Il y a plusieurs mois maintenant, Microsoft annonçait l’arrivée du Co-Management de machine Windows 10 avec à la fois System Center Configuration Manager et Microsoft Intune. Ceci permet aux entreprises qui ont déjà System Center Configuration Manager de bénéficier des avancées de gestion moderne proposées par le Cloud via Microsoft Intune. Ceci donne accès à l’effacement à distance, l’accès conditionnel, Windows Autopilot, l’état de santé du client dans la console Intune, etc. Cela permet aussi aux entreprises de conserver les investissements qu’ils ont pu faire sur System Center Configuration Manager tout en se laissant le temps de passer des charges de travail initialement gérées par SCCM vers Microsoft Intune :

• Stratégies de conformité
• Stratégie de mises à jour logicielles
• Stratégies d’accès aux ressources de l’entreprise
• Gestion de l’antivirus (Endpoint Protection)
• Configuration du périphérique
• Gestion des applications Office Click-to-Run
• Déploiements d’applications clientes.

Depuis quelques temps dans des phases d’Avant-Vente pour défendre le modèle proposé par Microsoft, on se retrouve face à des solutions de gestion de périphériques mobiles (MDM) concurrentes (MobileIron, AirWatch, etc.) qui se targuent de pouvoir faire du Co-Management avec System Center Configuration Manager.

C’est le signe que c’est Microsoft qui donne la direction à l’ensemble de l’écosystème EMM/MDM. Ces acteurs qui se retrouvent chahutés n’ont que d’autres solutions que de s’aligner sur les choix de Microsoft et le vocabulaire utilisé.

Mais qu'en est-il vraiment ?

Ne confondez pas Co-Management et Co-Existence ! Bien entendu, ce serait mentir que de dire que le client Configuration Manager ne peut pas coexister sur des postes Windows 10 gérés par d’autres solutions de MDM si ce périphérique est soit joint à Azure Active Directory ou Hybrid Azure AD Join. Ce n’est bien entendu pas le cas dans un mode BYOD ou la machine n’est joint à aucun domaine.

Avoir deux autorités (un MDM et SCCM ou tout autre outil) sur un seul périphérique n’est pas si trivial car les outils (tout comme c’est le cas pour des antivirus) peuvent générer des conflits. Des valeurs de paramètres différentes peuvent s’appliquer continuellement.

System Center Configuration Manager et Microsoft Intune est le seul couple qui propose une véritable solution travaillant ensemble : Du Co-Management ! System Center Configuration Manager et Microsoft Intune communiquent ensembles pour permettre de basculer les charges de travail citées plus haut sans impacter l’un ou l’autre des outils en fonction de l’autorité qui endosse la prise en charge de la fonctionnalité.

Cette interaction n’existe pas avec d’autres solutions de MDM ! Dans ce cas, Microsoft a tout de même créé un système. Si le client ConfigMgr détecte une solution de gestion (MDM) tierce, alors certaines fonctionnalités sont automatiquement désactivées dans System Center Configuration Manager. Cela touche de manière similaire les fonctionnalités suivantes :

• Stratégies de conformité
• Analyse de mises à jour logicielles et installation
• Stratégies d’accès aux ressources de l’entreprise
• Gestion de l’antivirus (Endpoint Protection)
• Configuration du périphérique
• Gestion des applications Office Click-to-Run
• Déploiements d’applications clientes incluant les packages.

La grande différence se situe donc sur le fait qu’il n’est pas possible de choisir quelle charge de travail on souhaite gérer avec SCCM ou avec le MDM tiers. Par défaut le client SCCM désactive tout et ne garde que des fonctionnalités sommaires telles que : l’inventaire matériel et logicielles, Asset Intelligence, le contrôle d’usage logiciels et la gestion de l’alimentation. C’est pourquoi cette solution s’apparente plutôt à de la Co-Existence.

Source : https://docs.microsoft.com/en-us/sccm/comanage/coexistence

Avec la version 1904 de Microsoft Intune, Microsoft corrige deux problèmes de scénario concernant le déploiement initial de l’Intune Management Extension utilisé pour le déploiement d’applications Win32 et de scripts PowerShell.

Scénario 1 : Hybrid Azure AD Join

Auparavant, si vous procédiez au scénario de gestion suivant :

1. Réalisation de la jointure hybride à Azure AD (Hybrid Azure AD Join) d’une machine jointe initialement à Active Directory
2. Enregistrement automatique dans Microsoft Intune via la GPO : Auto MDM Enrollment with AAD Token.

Alors la machine était bien Hybrid Azure AD Join et enregistrée automatiquement (sans action de l’utilisateur) dans Microsoft Intune. Néanmoins, l’installation d’Intune Management Extension n’était pas réalisée. Il n’était ainsi pas possible de déployer des applications Win32 ou des scripts PowerShell.

Scénario 2 : Jointure manuelle dans Azure AD puis enregistrement manuelle dans Microsoft Intune

Dans ce cas, si vous procédiez au scénario de gestion suivant :

1. Jointure manuelle dans Azure AD d’une machine sans que l’option d’enregistrement automatique à Microsoft Intune soit activée sur le tenant.
2. Enregistrement manuelle par l’utilisateur dans Microsoft Intune

Dans ce cas de figure, l’installation d’Intune Management Extension n’était pas réalisée. Il n’était ainsi pas possible de déployer des applications Win32 ou des scripts PowerShell. Il fallait alors déjoindre la machine à Azure AD et refaire une jointure manuelle.

A partir d’avril 2019 :

Dans les deux cas, avec la version 1904 du service, l’extension est automatiquement installée après l’enregistrement dans Microsoft Intune. Pour les périphériques qui auraient déjà été dans cet état, il suffit de déployer une application ou un script PowerShell pour que l’installation de l’extension soit réalisée.

Jusqu’à maintenant, nous implémentions les solutions permettant d’empêcher le Dual Scan des mises à jour logicielles lorsqu’une machine est gérée avec System Center Configuration Manager. Avec les changements de stratégie, vous pouvez faire parti de ces entreprises qui gèrent les machines Windows 10 en Co-Management à la fois avec Microsoft Intune et System Center Configuration Manager.

Vous pouvez donc décider un jour de gérer les mises à jour logicielles Microsoft avec Windows Update for Business et Microsoft Intune. Néanmoins, vous voulez potentiellement continuer de déployer des mises à jour tierces avec System Center Configuration Manager (et anciennement SCUP).

Dans ce cas de figure, vous devez suivre le processus suivant :

• Configurer le Co-Management (Ceci est un prérequis bien entendu) avec Microsoft Intune
• Déplacer la charge de travail Windows Update Policies vers Microsoft Intune
• Dans les paramétrages du client ConfigMgr, vous devez (garder) activer la gestion des mises à jour logicielles.
• Ciblez ensuite des stratégies de gestion de mises à jour logicielles (Windows Update for Business) avec Microsoft Intune sur les périphériques

En finalité, le client Configuration Manager configurera automatiquement le comportement Dual Scan sur les machines pour prendre en compte ce scénario.

Microsoft a publié une nouvelle documentation basée sur les multiples guides PDF déjà publiés pour vous guider dans l’implémentation de l’authentification à facteurs multiples (MFA) proposée par Azure Active Directory.

Cette documentation est donc à suivre avec attention :

1. Prerequisites
2. Plan user rollout
3. Deployment Considerations
4. Define network locations
5. Plan authentication methods
6. Plan registration policy
7. Plan conditional access policies
8. Plan integration with on-premises systems
9. Implement your Plan
10. Manage your solution
11. Troubleshoot MFA Issues

https://aka.ms/deploymentplans/mfa

Microsoft a créé un guide simplifié qui permet de sécuriser des machines Windows 10 en fonction des 5 niveaux de sécurité DEFCON :

• Niveau 5 - Sécurité d'entreprise : Microsoft recommande cette configuration comme configuration de sécurité minimale pour un périphérique d'entreprise. Les recommandations pour ce niveau de configuration de sécurité sont généralement simples et sont conçues pour être déployées dans les 30 jours.
• Niveau 4 - Entreprise haute sécurité : Microsoft recommande cette configuration pour les périphériques où les utilisateurs accèdent à des informations sensibles ou confidentielles. Certains contrôles peuvent avoir un impact sur la compatibilité des applications et, par conséquent, passeront souvent par une période audit-configure-applique. Les recommandations pour ce niveau sont généralement accessibles à la plupart des organisations et sont conçues pour être déployées dans les 90 jours.
• Niveau 3 - Sécurité VIP d'entreprise : Microsoft recommande cette configuration pour les périphériques gérés par une entreprise dotée d'une équipe de sécurité plus importante ou plus sophistiquée, ou pour des utilisateurs ou des groupes spécifiques qui sont exposés à un risque particulièrement élevé. Une entreprise susceptible d'être ciblée par des adversaires bien financés et sophistiqués devrait aspirer à cette configuration. Les recommandations pour ce niveau de configuration de sécurité peuvent être complexes (par exemple, la suppression des droits d'administrateur local pour certaines organisations peut être un long projet en soi) et peuvent souvent aller au-delà de 90 jours.
• Niveau 2 - Poste de travail DevOps [En cours de rédaction] : Microsoft recommande cette configuration aux développeurs et aux testeurs, qui sont une cible attrayante tant pour les attaques de la chaîne d'approvisionnement que pour les attaques de vol de justificatifs qui tentent d'accéder à des serveurs et systèmes contenant des données de grande valeur ou où les fonctions critiques de l'entreprise pourraient être perturbées.
• Niveau 1 - Poste de travail de l'administrateur [En cours de rédaction] : Les administrateurs (en particulier ceux des systèmes d'identité ou de sécurité) courent le plus grand risque de vol de données, d'altération de données ou d'interruption de service.

Vous souhaitez mettre en place de l’accès conditionnel sur vos ressources d’entreprise ? Microsoft a créé une série de vidéo qui aborde le sujet. Pour rappel, l’accès conditionnel permet de restreindre l’accès à des ressources de l’entreprise (Office 365, VPN, Services Azure, Applications métiers, etc.) en fonction de conditions définies et de règles de conformité.

Plus d’informations sur :

• What is Conditional Access?
• How to deploy Conditional Access
• How to roll out Conditional Access
• How to register your security information for Azure Active Directory

Microsoft vient de mettre à disposition la Technical Preview 1904 (5.0.8813.1000) de System Center Configuration Manager. Pour rappel, ConfigMgr a subi une refonte de sa structure pour permettre des mises à jour aisées de la même façon que l’on peut le voir avec Windows 10. Si vous souhaitez installer cette Technical Preview, vous devez installer la Technical Preview 1804 puis utiliser la fonctionnalité Updates and Servicing (nom de code Easy Setup).

System Center Configuration Manager TP 1904 comprend les nouveautés suivantes :

Administration

• Le hub communautaire déjà introduit dans des versions précédentes, se voit enrichi. Il permet maintenant la récupération de rapports. Vous devez pour cela activer l’option Use Configuration Manager-generated certificates for HTTP site systems au niveau du site qui récupère les rapports. Pour plus de détails sur comment contribuer vous pouvez vous référer à la documentation.
• Amélioration des processus sous-jacent au Centre Logiciels/Software Center :
  • Pour les applications en libre-service destinées aux utilisateurs, le Software Center les récupère maintenant à partir du Management Point. Il a ce comportement même si le site a les rôles catalogue d'applications. Cette modification vous permet de supprimer plus facilement ces rôles de site.
  • Auparavant, le Software Center choisissait le premier Management Point dans la liste des serveurs disponibles. À partir de cette version, il utilise le même Management Point que celui utilisé par le client. Ce changement permet au Software Center de s'aligner avec le client et d'avoir le même comportement de repli.
• CMPivot peut être utilisé de manière autonome sans nécessiter la console d’administration. L’outil peut donc être partagé avec d’autres personnes (helpdesk, équipe sécurité, etc.) afin de leur permettre de récupérer des données intéressantes. L’application CMPivot est stockée dans <répertoire d’installation du site>\tools\CMPivot\CMPivot.exe. L’outil doit être copié avec l’ensemble des fichiers (dll, etc.). Il doit être exécuté avec les paramètres suivants :
  • -sms:Connection="<namespace>" où le namespace correspond au chemin vers le SMSProvider : \\<Nom du provider>\root\sms\site_<siteCode>
  • -sms:CollectionID="<CollectionID>" où l’identifiant de la collection correspond à la collection que vous ciblez pour exécuter les requêtes

Exemple : CMPivot.exe -SMS:Connection="\\WT-CM-TP1\root\sms\site_TP1" -SMS:CollectionID="SMS00001"

               Les utilisateurs doivent bien entendu avoir les permissions adéquates.

Gestion des mises à jour logicielles

• La gestion des mises à niveau de Windows 10 supporte maintenant les mises à jour dynamiques. Ceci permet d’automatiquement installer les packs de langues, les fonctionnalités à la demande, les drivers et les correctifs cumulatifs lors de l’exécution de la mise à niveau du système d’exploitation. Ceci adresse un des principaux points de faiblesse de la fonctionnalité Windows 10 Servicing pour passer d’une version de Windows 10 à l’autre. Vous pouvez activer l’option Enable Dynamic Update for Feature Updates dans les paramétrages du client afin de modifier le fichier setupconfig utilisé lors de l’installation de la mise à niveau pour spécifier l’usage des Dynamic Update.

• C’est un des points que j’adressais avec l’un des scripts décrit dans mon article sur la maintenance/nettoyage de WSUS ; Microsoft ajoute maintenant les indexes supplémentaires sur les tables suivantes :
  • tbLocalizedPropertyForRevision
  • tbRevisionSupersedesUpdate

Cet ajout est automatique si vous cochez la case Add non-clustered indexes to the WSUS database au niveau des propriétés du Software Update Point pour chaque site. Ceci est fait automatiquement excepté si le serveur SQL est distant et n’utilise pas de port par défaut.

Gestion d’Office 365

• Le nouveau tableau de bord d’évaluation à la mise à niveau du client Office 365 ProPlus introduit dans la 1902 est étoffé. Vous pouvez le consulter en naviguant dans Software Library – Office 365 Client Management – Office 365 ProPlus Upgrade Readiness et permet d’obtenir des éléments sur :
  • L’évaluation des composants additionnels
  • Les déclarations de support des composants additionnels
  • Le TOP Des composants additionnels par version
  • Le nombre de périphériques qui ont des macros
  • L’évaluation des macros

Déploiement de système d’exploitation

• Il est maintenant possible de précharger dans le cache les packages de drivers ainsi que les images de système d’exploitation. Ceci s’ajoute aux packages de mise à jour de système d’exploitation afin de mieux contrôler l’usage de la bande passante. Vous devez donc spécifier l’architecture et la langue sur l’onglet Data Source de l’image de système d’exploitation. Pour les packages de drivers, vous devez spécifier le modèle dans l’onglet General. Cette valeur doit être celle spécifiée dans la valeur Name de la classe Win32_ComputerSystemProduct.
  Ensuite dans la séquence de tâches, vous pouvez spécifier les conditions sur les étapes Apply OS Image et Apply Drivers Package. Avec des requêtes WMI avec respectivement Select* from Win32_OperatingSystem where locale = ‘04c0’ and OSArchitecture = ’64-bit’ ou select * from Win32_ComputerSystemProduct where Name = "HP EliteBook 820 G4" par exemple. Il ne vous reste plus que de déployer la séquence de tâches avec l’option Pre-download content for this task sequence.
• On retrouve deux nouvelles cmdlets PowerShell permettant d’éditer ou de créer l’étape Run Task Sequence : New-CMTSStepRunTaskSequence et Set-CMTSStepRunTaskSequence
• Microsoft ajoute une nouvelle variable de séquence de tâches SMSTSRebootDelayNext qui doit être utilisée en conjonction avec SMSTSRebootDelay. Elle permet de spécifier un timeout différent pour les redémarrages qui suivent le premier redémarrage dont le timeout est défini par SMSTSRebootDelay.

Plus d’informations sur : https://docs.microsoft.com/en-us/sccm/core/get-started/2019/technical-preview-1904

Microsoft a publié une nouvelle version (v2.0.779.0) du client Unified Labeling d’Azure Information Protection. Ce correctif corrige un problème pour résoudre une condition rare où parfois les etiquettes/labels ne sont pas affichés dans Office ou l’explorateur de fichiers.

Cette première version couvre les fonctionnalités standards et la classification automatique. Les fonctionnalités avancées sont attendues prochainement. Pour rappel, Azure Information Protection permet de classifier et labéliser la donnée au moment de la création en fonction de différentes catégories. L’administrateur peut ensuite appliquer des stratégies de protection embarquée dans la donnée en fonction de la classification appliquée. Ce service est issu du rachat de Secure Islands et vient englober Azure Rights Management (RMS).

Vous trouverez la comparaison des fonctionnalités entre le client et le client Unified Labeling.

Plus d’informations sur la version du client AIP Unified Labeling

Télécharger Azure Information Protection unified labeling client

Microsoft vient de mettre à jour (7.0.15.0) des packs d’administration ou Management Packs (MP) SCOM pour superviser SQL Server 2017 Reporting Services. Il fonctionne avec SCOM 2012 R2 ou plus.  Il supervise le moteur Reporting Services en mode natif ou dans un mode de déploiement Scale-out ainsi que les instances Power BI Report Server. On retrouve des éléments permettant de superviser la disponibilité, la performance, la configuration, de collecter des données de performance, etc.

Cette nouvelle version apporte la prise en charge des derniers changements dans le Management Pack pour SQL Server.

Télécharger Microsoft System Center Management Pack for SQL Server 2017+ Reporting Services

Microsoft vient de publier un nouveau Management Pack (7.0.15.0) pour superviser le composant Replication de SQL Server 2017. Il fonctionne avec SCOM 2012 R2 ou plus. Il permet la supervision de :

• Des composants de réplication comme un Distributor, Publisher, Publication, Subscription, Subscriber, etc.
• Des éléments de disponibilité, de performance, et de configuration

Cette nouvelle version n’apporte aucun changement mais le numéro de version a été augmenté pour correspondre à la version du Management Pack SQL Server.

Télécharger Microsoft System Center Management Pack for SQL Server 2017+ Replication

Un incident (IT177892) touchait les entreprises qui utilisent les stratégies de protection applicatives (MAM) de Microsoft Intune. Cet incident est maintenant résolu par le déploiement d’un correctif par Microsoft. Ceci permet de s’assurer que l’utilisation de l’option Sauvegarder vers (Save As) stocke les données d’entreprise de manière chiffrée pour les applications Android protégées avec les stratégies de protection applicatives.

L’effet de bord temporaire de ce correctif est que si vous avez choisi de ne pas chiffrer les données, le paramétrage sera surchargé et les fichiers seront tout de même chiffrés.

Microsoft vient de mettre à jour (7.0.15.0) le pack d’administration ou Management Pack (MP) SCOM pour superviser SQL Server 2016. Il fonctionne avec SCOM 2012 SP1 ou plus. Cette nouvelle version apporte les éléments suivants :

• Ajout d'une règle qui active le mode de maintenance pour certaines instances des objets du Management Pack SQL Server lorsque l'ordinateur hôte est mis en maintenance.
• Mise à jour de la classe SQL DB Engine : nouvelle propriété "NetBIOS Domain name". 
• Mise à jour du moniteur "Product Version Compliance" pour définir SQL Server 2017 CU14 comme version minimale
• Mise à jour du moniteur d'état de configuration du nom principal de service (SPN) et des règles d'alerte "Login failed" et "Database consistency check performed with no errors" pour les désactiver par défaut.
• Corrigé : La règle de performance "Buffer Cache Cache Hit Ratio" et le moniteur obtiennent des valeurs supérieures à 100%.
• Corrigé : Le moniteur "Availability Group Online (rollup)" génère des alertes avec des caractères génériques non remplacés.
• Correction du traitement des exceptions dans le moniteur "Resource Pool Memory Consumption".
• Corrigé : Le moniteur "Service Principal Name Configuration Status" génère de fausses alertes à cause de la comparaison sensible à la casse.

Télécharger Microsoft System Center Management Pack for SQL Server

Microsoft a publié une mise à jour (version 16.0.11426.3000) du Management Pack pour SharePoint 2019. Pour rappel, System Center Operations Manager (SCOM) fait partie de la gamme System Center, il propose une supervision souple et évolutive de l’exploitation au niveau de toute l’entreprise, réduisant la complexité liée à l’administration d’un environnement informatique, et diminuant ainsi le coût d’exploitation. Ce logiciel permet une gestion complète des événements, des contrôles proactifs et des alertes, et assure une gestion des services de bout en bout. Il établit des analyses de tendance et des rapports, et contient une base de connaissances sur les applications et le système.

On retrouve la supervision des éléments suivants :

• Supervision des services SharePoint 2019 (Timer, Tracing, et Search)
• Supervision des événements SharePoint 2019
• Supervision des événements IIS relatifs à l'application SharePoint uniquement
• Supervision des événements de la base de données SQL relatifs à l'application SharePoint.
• Supervision des performances et préviens les utilisateurs quand des problèmes de performance sont détectés
• Transfert les utilisateurs vers les articles TechNet

Télécharger System Center Management Pack for SharePoint Server 2019

Microsoft vient de publier un nouveau pack d’administration ou Management Pack (MP) (1.7.0.0) pour Microsoft Azure. Ce Management Pack vient remplacer les précédents pour Windows Azure. Pour rappel, System Center Operations Manager (SCOM) fait partie de la gamme System Center, il propose une supervision souple et évolutive de l’exploitation au niveau de toute l’entreprise, réduisant la complexité liée à l’administration d’un environnement informatique, et diminuant ainsi le coût d’exploitation. Ce logiciel permet une gestion complète des événements, des contrôles proactifs et des alertes, et assure une gestion des services de bout en bout. Il établit des analyses de tendance et des rapports, et contient une base de connaissances sur les applications et le système.

Ce management pack fournit les fonctionnalités suivantes :

• Découverte des services : Application Insights, Automation, Backup, Biztalk, Cloud Service, Data Factory, DocumentDB, Logic App, Media Services, Mobile Services, Networks, Notification Hubs, Operational Insights, Redis Cache, SCheduler, Search, Service Bus, SQL Azure, Storage Accounts, Traffic Manager, Virtual Machines, et Websites
• Collecte de performance pour : Cloud Services, Data Factory, DocumentDB, Mobile Services, Redis Cache, SQL Azure, Virtual Machines, Websites

Cette version comprend :

• Ajout de la surveillance pour Scheduled Query Rule et fermeture de la tâche d'alertes avec un compte ayant les permissions contributeurs/propriétaires à l'abonnement.
• Ajout de la surveillance des règles d'alertes des journaux d'activités et de la fermeture de la tâche d'alertes avec un compte ayant les permissions des contributeurs/propriétaires à l'abonnement.
• Lors d'une nouvelle installation, tous les types de service ne sont plus cochés par défaut. L'utilisateur doit sélectionner les services à surveiller à l'étape de configuration de l'assistant.
• Lors d'une nouvelle installation, la collecte des métriques pour tous les services est non cochée par défaut. L'utilisateur peut sélectionner les métriques à collecter à l'étape de configuration de l'assistant.
• Lors de la mise à niveau, tous les paramètres précédents du client seront conservés.
• Mise à jour de la section « how perform Upgrade from different versions ». Suivez la section "Upgrade" pour plus de détails.
• Amélioration de l'interface utilisateur des types de service dans l'assistant. Surlignage avec des services gris qui sont moins utilisés
• L'option Full Scan est désactivée par défaut. Il est possible de la réactiver dans le registre. Suivez la section "Full Scan" pour plus de détails.
• Réactivation de la collection de métriques Guest pour les VMs dans Azure Public. Les métriques Guest devraient être ajoutées en tant que nouvelles extensions d'Azure. La collection Guest a des limites par région. Pour plus d'informations sur l'activation des mesures d'invités, lisez la section "Guest metrics monitoring".
• Pour obtenir de nouvelles métriques Guest pour les machines virtuelles Azure dans l'assistant Authoring Azure MP  > appuyez sur [Refresh data]. Les métriques Guest apparaîtront dans l'onglet métriques non coché par défaut.
• Mise à jour de la section "Azure in China". Ajout d'une limitation :  En Chine, les données sur les machines virtuelles ne seront pas collectées.
• Toutes les entrées "Alert Rule" dans les descriptions ont été renommées "Classic Metric Alerts".
• Correction d'un bogue lorsque les métriques de performance cessaient d'être collectées alors qu'elles recevaient une configuration incorrecte de la part d'Azure.

Notez que ce pack d’administration nécessite System Center 2012 Service Pack 1 (SP1) – Operations Manager, System Center 2012 R2 Operations Manager ou System Center 2016 Operations Manager

Télécharger Microsoft System Center 2016 Management Pack for Microsoft Azure

Microsoft vient de mettre à jour (version 10.19.1006.0) le management pack permettant la supervision des systèmes d’exploitation UNIX/Linux avec System Center Operations Manager (SCOM) 2019. Ce Management Pack permet la découverte et la supervision de la disponibilité ou de la configuration des systèmes UNIX avec notamment :

• IBM AIX 7.1, 7.2
• Red Hat Enterprise Linux 7
• Solaris 10, et 11
• SUSE Linux Enterprise Server 12, et 15
• CentOS 6 et 7
• Debian GNU/Linux 8 et 9
• Oracle Linux 6 et 7
• Ubuntu Linux Server 16.04 et 18.04

Cette mise à jour inclut l’agent en version 1.6.0-163 ou 1.6.3-659 (1807).

Télécharger System Center 2019 Monitoring Pack for UNIX and Linux Operating Systems

Microsoft vient d’annoncer la mise à disposition d’un nouvel ensemble de fonctionnalités pour Microsoft Intune.

Les fonctionnalités suivantes sont ajoutées :

Enregistrement des périphériques

• [iOS] Changement dans le processus d’enregistrement à partir du portail d’entreprise pour les utilisateurs d’iOS 12.2. Ces changements impactent toutes les solutions MDM. Le workflow permet à safari d’ouvrir le site web du portail d’entreprise pour télécharger le profil d’administration avant de retourner dans le portail d’entreprise. Il doit ouvrir l’application Settings et installer le profil d’administration sur son périphérique puis retourner dans le portail d’entreprise pour finir l’enregistrement. Plus d’informations sur : Enroll iOS device in Intune.
• [macOS] Il devient possible de créer un profil d’enregistrement pour configurer la suppression de certains écrans quand l’utilisateur passe au travers de Setup Assistant : Apparence, Display Tone, iCloudStorage.
• [iOS] Lorsque vous utilisez l'une des méthodes d’enregistrement d'entreprise d'Apple (DEP/ABM/ASM), vous pouvez définir un format de nom de périphérique pour nommer automatiquement les périphériques iOS entrants. Vous pouvez spécifier un format qui inclut le type de périphérique et le numéro de série dans le modèle. Pour ce faire, choisissez Intune > Device enrollment > Apple enrollment > Enrollment program tokens > sélectionnez un  token >Create profile > Device naming format. Vous pouvez modifier les profils existants, mais seuls les périphériques nouvellement synchronisés auront le nom appliqué.
• [Windows 10] Microsoft a mis à jour le message de timeout par défaut que les utilisateurs voient lorsque la page Enrollment Status Page (ESP) dépasse la valeur de délai d'attente spécifiée dans le profil ESP. Le message permet aux utilisateurs de les aider à comprendre les prochaines actions à prendre avec leur déploiement ESP.

Configuration du périphérique

• [General] Microsoft a mis à jour le connecteur Intune pour les certificats ainsi que le connecteur pour les certificats PFX. Ces versions corrigent plusieurs bugs.
• [macOS] Vous pouvez configurer les paramétrages de connexion et les options de redémarrage sur les périphériques macOS comme l'affichage d'une bannière personnalisée, le choix de la manière dont les utilisateurs se connectent, l'affichage ou la masquage des paramètres d'alimentation, etc.. Pour ce faire, vous pouvez créer un profil en choisissant Device configuration > Profiles > Create profile > Choisir macOS comme plateforme > Device features)

• [Android Enterprise] Extension du support pour Android Enterprise avec :
  • Sur les périphériques gérés et dédiés, vous pouvez créer des règles de conformité incluant les règles de mot de passe et les exigences du système d'exploitation (Device compliance > Policies > Create policy > Android Enterprise comme plateforme > Device owner comme type de profil).

Sur les périphériques dédiés, le périphérique peut afficher la mention Non conforme. L'accès conditionnel n'est pas disponible sur les périphériques dédiés. Vous devez donc effectuer toutes les tâches ou actions nécessaires (stratégies adéquates) pour que les périphériques dédiés soient conformes aux stratégies qui vous ont été assignées.

• • Accès conditionnel - Les stratégies d'accès conditionnel qui s'appliquent à Android s'appliquent également aux périphériques gérés Android Enterprise. Les utilisateurs peuvent maintenant enregistrer leur périphérique dans Azure Active Directory en utilisant l'application Microsoft Intune.
  • Nouvelle application pour les utilisateurs finaux (Microsoft Intune app) - Il y a une nouvelle application utilisateur final pour les appareils Android entièrement gérés appelée Microsoft Intune. Cette nouvelle application est plus légère et offre des fonctionnalités similaires à celles de l'application Company Portal, mais pour les appareils entièrement gérés.
• [Android Enterprise] Vous pouvez configurer le WiFi sur des périphériques dédiés Android Enterprise en mode Device Owner exécutant le mode Kiosk multi applications. Pour ce faire, naviguez dans Intune > Device configuration > Profiles > Create profile > Android Enterprise comme plateforme > Device owner only, Device restrictions comme type de profil > Dedicated devices > Kiosk mode: Multi-app > WiFi configuration.

• [Android Enterprise] Vous pouvez configurer le Bluetooth et les périphériques appairés par le bluetooth sur des périphériques dédiés Android Enterprise en mode Device Owner exécutant le mode Kiosk multi applications. Pour ce faire, naviguez dans Intune > Device configuration > Profiles > Create profile > Android Enterprise comme plateforme > Device owner only, Device restrictions comme type de profil > Dedicated devices > Kiosk mode: Multi-app > Bluetooth configuration.

• [Android Enterprise] Intune supporte la création d’une configuration de périphérique avec OEMConfig. OEMConfig est généralement utilisé pour configurer des paramètres qui ne sont pas intégrés à Intune. Différents OEMs incluent différents réglages. Les paramètres disponibles dépendent donc de ce que l'OEM inclut dans son application OEMConfig. OEMConfig est un standard défini par la communauté AppConfig qui permet aux OEM et aux EMM de créer et de prendre en charge des fonctions spécifiques OEM de manière standardisée. Historiquement, les EMM, comme Intune, construisent manuellement la prise en charge des fonctionnalités spécifiques aux OEM après leur introduction par l'OEM. Cette approche conduit à un dédoublement des efforts et à une adoption lente.

• [Android Enterprise] De nouveaux paramètres de restrictions de périphérique sont disponibles pour les périphériques Android Enterprise dans un mode Device Owner. Vous pouvez autoriser ou restreindre des fonctionnalités, définir des règles de mot de passe, etc. Pour les configurer, vous devez naviguer dans Device configuration > Profiles > Create profile > Choisissez Android Enterprise > Device owner only > Device restrictions comme type de profil.

• [Windows 10] Microsoft a intégré les paramètres d’expérience utilisateur aux configurations des anneaux de déploiement (Ring) de Windows Update pour bloquer ou autoriser les utilisateurs à analyser les mises à jour logiciel ou gérer le niveau de notification des mises à jour Windows qu’un utilisateur peut voir.

• [Windows 10] Changement d’interface pour les paramétrages de Microsoft Edge sur Windows 10 ou plus. Les paramétrages sont mieux décrits et plus facile à comprendre en naviguant dans Device configuration > Profiles > Create profile > Windows 10 and later comme plateforme > Device restrictions comme type de profil > Microsoft Edge Browser.

Gestion des applications

• [Général] La page d'aperçu du périphérique affiche l'utilisateur principal, également appelé l’affinité périphérique utilisateur (UDA). Pour voir l'utilisateur principal d'un périphérique, choisissez Intune > Devices > All devices > Choisissez un périphérique. L'utilisateur principal apparaîtra en haut de la page Aperçu.
• [Windows 10] Les rapports d'installation d'application comportent des informations sur la version de l'application pour les applications Microsoft Store for Business. Dans Intune, sélectionnez Client apps > Apps. Sélectionnez une application Microsoft Store for Business, puis sélectionnez Device install status dans la section Monitor.
• [Windows 10] Vous pouvez créer des règles prérequis sur les scripts PowerShell, les valeurs de registre et les informations du système de fichiers. Dans Intune, sélectionnez Client apps > Apps > Add. Sélectionnez ensuite l'application Windows (Win32) comme type d'application dans la tuile Add app. Sélectionnez Requirements > Add pour configurer des règles d'exigences supplémentaires. Ensuite, sélectionnez Type de fichier, Registre ou Script comme type d'exigence.

• [Windows 10] Vous pouvez assigner vos applications Win32 à installer sur les périphériques Intune joint à Azure AD.
• [iOS] La page d’accueil du portail d’entreprise pour les périphériques iOS a été repensée. Cette dernière suit les modèles d’interface d’iOS et améliore la découverte des applications et ebooks disponibles.
• [Android] Les stratégies de protection applicatives sur les périphériques Android peuvent utiliser la librairie de chiffrement OpenSSL conforme à FIPS 140-2.
• [Android Enterprise] Vous pouvez maintenant voir le nombre spécifique de version des applications Google Play gérées et installées sur les périphériques Android Enterprise. La fonctionnalité n’est pour l’instant applicable que pour les applications déployées de manière obligatoire. La même fonctionnalité pour les applications optionnelles sera proposée prochainement.

Supervision et Dépannage

• [Général] Microsoft prévient que les différences entre l’API Intune Data Warehouse v1.0 et Beta vont être harmonisés sur la base de la V1.0. Vous devez donc valider les changements si vous utilisez l’API Bêta et Microsoft recommande l’usage de la V1.0 en lieu et place.
• [Windows 10] Microsoft a ajouté une vue par catégorie pour faciliter la supervision de l’état des baselines de sécurité.  Ceci permet d’avoir le pourcentage de périphériques mal configurés ou non applicables pour chaque groupe de catégorie.

Sécurité

• [Général] Il est maintenant possible d’ajouter des balises (Scope Tags) pour les tokens Apple VPP. Seuls les utilisateurs ayant la même balise auront accès au token Apple VPP avec cette balise. Les applications VPP et les ebooks achetés avec ce token héritent de ses tags.
• [Général] Il est maintenant possible d’utiliser Compliance Manager pour évaluer la conformité du service Microsoft Intune. On retrouve deux types d’évaluation : Federal Financial Institutions Examination Council (FFIEC) et General Data Protection Regulation (GDPR). Pour rappel, Compliance Manager est un outil d'évaluation des risques basé sur le workflow dans le portail Microsoft Service Trust Portal. Il vous permet de suivre, d'assigner et de vérifier les activités de conformité réglementaire de votre organisation liée aux services Microsoft. C’est donc un outil indispensable pour valider votre conformité à la GDPR.

Plus d’informations sur : https://docs.microsoft.com/en-us/intune/whats-new

Microsoft vient de mettre à disposition la Technical Preview 1903 (5.0.8800.1000) de System Center Configuration Manager. Pour rappel, ConfigMgr a subi une refonte de sa structure pour permettre des mises à jour aisées de la même façon que l’on peut le voir avec Windows 10. Si vous souhaitez installer cette Technical Preview, vous devez installer la Technical Preview 1804 puis utiliser la fonctionnalité Updates and Servicing (nom de code Easy Setup).

System Center Configuration Manager TP 1903 comprend les nouveautés suivantes :

Administration

• Microsoft propose un estimateur/calculateur de coût des services Cloud. L'outil utilise les données suivantes de la base de données de site pour estimer le coût de déploiement de la Cloud Management Gateway :
  • Utilisation globale et moyenne des Management Points et des points de distribution par les clients
  • Prix Azure

Le tableau de bord est disponible à partir de l’espace Monitoring – Cloud Management. Par défaut, l’outil n’utilise les données que des portables, que les stratégies clientes (pas le contenu), 30 jours d’usage de données cliente et une moyenne de 10% de clients communiquant simultanément avec des cloud service. Notez que pour l’instant, les prix sont fixés en dur pour West US, West Europe, et North Europe.

Gestion du contenu

• Cette version permet d’utiliser un point de distribution comme serveur de cache local pour Delivery Optimization. Cette fonctionnalité est connue sous le nom de Delivery Optimization In-Network Cache (DOINC). Ce serveur de cache fait office de cache à la demande pour le contenu téléchargé par Delivery Optimization. Ce cache est séparé du contenu des points de distribution. Si vous sélectionnez le même lecteur que le rôle de point de distribution, il enregistre le contenu séparément. Vous devez utiliser Windows Server 2012, Windows Server 2012 R2, Windows Server 2016 ou Windows Server 2019. Le serveur doit avoir un accès à Internet. Les clients doivent utiliser à minima Windows 10 1709.
  Le contenu Cloud comprend les types de contenu suivants :
  • Windows Update for Business : Les mises à jour de fonctionnalités et de la qualité de Windows 10
  • Applications Office Click-to-Run : Applications Office et mises à jour
  • Applications client : applications Microsoft Store et mises à jour
  • Endpoint Protection : Mises à jour de définition de Windows Defender
  • Applications issues du Microsoft Store
  • Windows Features On Demand, telles que les langues
  • Si vous activez les stratégies Windows Update for Business : Les mises à jour de fonctionnalités et de la qualité de Windows 10
  • Pour l’utilisation du Co-Management :

Gestion des mises à jour logicielles

• Vous pouvez maintenant consulter les statistiques de conformité pour voir quels périphériques nécessitent une mise à jour logicielle spécifique. Pour afficher la liste des périphériques, vous devez obtenir l'autorisation d'afficher les mises à jour et les collections auxquelles les périphériques appartiennent.

Déploiement de système d’exploitation

• Il est maintenant possible de débloquer une séquence de tâches verrouillée par le mécanisme SEDO (Serialized Editing of Distributed Objects). Ce scénario peut arriver fréquemment si une console qui éditait la séquence de tâches a crashé inopinément. Ainsi le verrouillage est gardé pour une durée de 30 minutes.
  Cette nouveauté ne s'applique qu'au compte utilisateur qui a créé le verrouillage, et sur le même périphérique à partir duquel le site a accordé le verrou. Lorsque vous tentez d'accéder à une séquence de tâches verrouillée, vous pouvez maintenant Annuler les modifications et continuer à modifier l'objet. Ces changements seraient de toute façon perdus à l'expiration du verrou.

• Lorsque vous créez un média de séquence de tâches, Configuration Manager n'ajoute pas de fichier autorun.inf. Ce fichier est généralement bloqué par les antivirus. Vous pouvez toujours inclure le fichier si nécessaire pour votre scénario. Lorsque vous créez un média de séquence de tâches dans la console Configuration Manager, sur la page Media Type de l'assistant, sélectionnez l'option Include autorun.inf file on media. Par défaut, cette option est désactivée.

Plus d’informations sur : https://docs.microsoft.com/en-us/sccm/core/get-started/2019/technical-preview-1903

Microsoft a publié la liste des changements importants apportés par System Center Configuration Manager 1902. La liste est non exhaustive. On retrouve :

Client

• Les clients essaient de télécharger du contenu à partir d'un Cloud Distribution Point en utilisant un suffixe DNS cloudapp.net lorsqu'un nom de domaine personnalisé est fourni. Les entrées d'erreur qui ressemblent à ce qui suit sont enregistrées dans le fichier DataTransferService.log :
  Target URL scheme is HTTPS: https://ServerName.cloudapp.net:443/downloadrestservice.svc/getcontentxmlsecure....
  AsyncCallback(): WINHTTP_CALLBACK_STATUS_SECURE_FAILURE Encountered
  WINHTTP_CALLBACK_STATUS_FLAG_CERT_CN_INVALID is set
• Le Software Center peut afficher une erreur et un message d'entrée "Error 0x0(0)" après l'installation réussie des mises à jour de fonctionnalités Windows. Les mises à jour ultérieures du logiciel renverront l'état d'installation correct.
• Les ordinateurs clients peuvent toujours recevoir une version de préproduction (pilote) du client même après avoir été retirés de la collection de préproduction.
• Un client Internet uniquement colocalisé avec un point de distribution HTTPS ne peut pas télécharger du contenu. Une entrée d'erreur qui ressemble à ce qui suit est enregistrée dans le fichier ContentTransferManager.log :
  CCTMJob::UpdateLocations - locality does not match for CTM Job {job_id}, suspending download
• La taille du cache du client est incorrectement limitée à 99,999 Mo si la taille maximale du cache du client est définie comme ayant une valeur supérieure.

Distribution logiciels et gestion du contenu

• Les applications peuvent ne pas s'installer dans une séquence de tâches si l'option "Autoriser les clients à utiliser les points de distribution du groupe de limites de site par défaut" est activée et si aucun autre groupe de limites n'est défini pour les points de distribution concernés.

Inventaires

• La propriété IsVirtualMachine de la classe d'inventaire matériel CCM_VirtualMachineInfo renvoie une valeur FALSE pour certaines machines virtuelles VMware.
• La propriété d'inventaire matériel IsHyperthreadEnabled est toujours définie sur True même si HyperThreading est désactivé dans le BIOS d'un ordinateur client.

Systèmes de site

• Un certificat d'Autorité de certification racine de confiance défini par l'administrateur peut être écrasé lors de la mise à jour des certificats dans l'onglet Client Computer Communication des propriétés du site.
• Le processus de découverte Azure Active Directory (AAD) crée incorrectement un enregistrement de données pour les utilisateurs qui sont bloqués dans AAD.
• KB449826264 : Des lignes dupliquées dans la table DistributionContentVersion après la réassignation d'un DP.
• Le lien de réplication de la base de données entre un site d'administration centrale et un site principal peut présenter un état dégradé. Cela peut se produire si des messages d'état sont présents d'un client qui a migré d'un site à un autre. Les entrées d'erreur qui ressemblent à ce qui suit sont enregistrées dans le fichier RCMCtrl.log :
  CSqlBCP::BCPIN: bcp_exec failed.
  *** DRS_Init_BCPIN() failed
  *** BCP fails due to internal sql error. Check if this table has a trigger failed to execute.
  BulkInsert::DRS_Init_BCPIN : Failed to BCP in
  BCP in result is 2147500037.
  ERROR: Failed to BCP in for table CI_CurrentComplianceStatus with error code 2147500037.
  ERROR: Failed to apply BCP for all articles in publication General_Site_Data.

Le déploiement de système d’exploitation

• Les tentatives de réessai de téléchargement pour le fichier variable PXE (variables.dat) sont augmentées à six réessais et retardés de 15 secondes.
• L'assistant Create Task Sequence Media permet maintenant de spécifier un dossier de support temporaire.
• L'Assistant d'importation de nouveaux pilotes peut échouer lorsqu'il importe plus de 100 pilotes si l'option "Importer le pilote et ajouter une nouvelle catégorie aux catégories existantes" est sélectionnée.

Console d’administration

• Plusieurs zones de la console Configuration Manager sont mises à jour pour permettre le tri correct du contenu par différents champs. Par exemple, des mises à jour sont apportées à la colonne Number in Progress dans le nœud Deployment et à la colonne Expiration Date dans le nœud Certificates.
• Les administrateurs peuvent ne pas être en mesure d'ouvrir la console Configuration Manager après avoir fait la promotion d'un serveur de site passif en mode actif. Cela se produit s'ils n'étaient pas auparavant membres du groupe SMS Admins sur le serveur passif du site.
• Les administrateurs ne peuvent pas supprimer un catalogue personnalisé de mises à jour de logiciels tiers si la fonctionnalité n'est pas activée.
• Les rapports de transition des charges de travail du Co-Management qui n’ont pas de résultats ne sont pas affichés comme prévu dans le tableau de bord de Co-Management.
• Le bouton Approve du nœud Device de la console Configuration Manager n'est pas correctement activé pour les clients installés via Azure Active Directory..

Gestion des mises à jour logicielles

• La synchronisation des mises à jour de drivers et de firmware Microsoft Surface peut échouer sur un serveur de site disposant d'un Software Update Point distant. Les entrées d'erreur qui ressemblent à ce qui suit sont enregistrées dans le fichier WsyncMgr.log :
  Generic exception : ImportUpdateFromCatalogSite failed. Arg = {guid}. Error =The request failed with HTTP status 401: Unauthorized.

 PowerShell

• La cmdlet Add-CMDeviceCollectionDirectMembershipRule n'affiche pas correctement un avertissement lorsque vous ajoutez un périphérique en double à une collection existante.

En outre, le correctif cumulatif suivant est inclus : KB4488598: Update Rollup 2 for System Center Configuration Manager current branch, version 1810

Plus d’informations sur la KB4498910 Summary of changes in System Center Configuration Manager current branch, version 1902