Microsoft a publié un changement (MC145129) sur la gestion des périphériques mobiles (MDM) avec Microsoft Intune en mode autonome ou hybride (avec SCCM) dans le Message Center du portail Office 365.

Dans la version de septembre, Microsoft Intune intégrera le nouveau paramètre Change password at next auth pour les périphériques exécutant macOS 10.13 ou plus.

Avant l'introduction de ce paramètre, les fournisseurs de MDM n'avaient aucun moyen de vérifier que le code d'accès d'un appareil avait été modifié pour assurer la conformité. Les stratégies de configuration et de conformité d'Intune validaient uniquement au prochain changement de mot de passe sur l'appareil, afin d’être marqué comme conforme. Les utilisateurs macOS recevront une demande de mise à jour de leur mot de passe lors de l'intégration de cette nouvelle fonctionnalité Apple, même si leur mot de passe est déjà conforme.

Maintenant que l'Apple a introduit ce paramétrage, Intune peut forcer les utilisateurs à mettre à jour leur mot de passe à un mot de passe conforme lorsqu'une stratégie de mot de passe est poussée. Si vous bloquez les ressources de l'entreprise jusqu'à ce que l'appareil soit conforme, sachez que vos utilisateurs finaux peuvent être empêchés d'accéder aux ressources de l'entreprise jusqu'à ce qu'ils réinitialisent leur mot de passe. À l'avenir, toutes les mises à jour des stratégies de configuration et de conformité des mots de passe obligeront les utilisateurs ciblés à mettre à jour leurs mots de passe.

Microsoft a publié une nouvelle version (Juillet 2018) de SQL Operations Studio. Pour rappel ces outils sont disponibles depuis Windows, macOS, et Linux pour permettre de gérer SQL Server, Azure SQL DB, et Azure SQL Data Warehouse.

Cette version inclut les éléments suivants :

• Configuration de l’agent SQL Server :
  • Ajout de vue pour les alertes, les opérateurs, et proxies
  • Ajout de boite de dialogue pour de nouveaux jobs, de nouvelles étapes de job, de nouvelles alertes, et de nouveaux opérateurs.
  • Ajout d’options sur le clic droit pour supprimer un job, supprimer une alerte et supprimer un opérateur
  • Ajout de visualisation Previous Runs.
  • Ajout de filtres pour chaque nom de colonne.
• Améliorations de SQL Server Profiler.
  • Ajout de raccourcis clavier pour lancer et démarrer/arrêter rapidement Profiler.
  • Ajout de 5 modèles par défaut pour visualiser les événements étendus.
  • Ajout du nom de connexion Serveur/Base de données
  • Ajout de la prise en charge des instances d’Azure SQL Database
  • Ajout d'une suggestion pour quitter Profiler lorsque l'onglet est fermé et que Profiler est toujours en cours d'exécution.
• Publication de l’extension communautaire Combine Scripts dans l’Extensions Manager.
• Extensibilité des boites de dialogue et des assistants
• Continuer à corriger les problèmes remontés via GitHub.

Plus d’informations : https://cloudblogs.microsoft.com/sqlserver/2018/07/19/the-july-release-of-sql-operations-studio-is-now-available/

Télécharger SQL Operations Studio

Microsoft vient d’annoncer le support d’Android 9 ou Pie par Microsoft Intune. Cette version d’Android a été par Microsoft à chaque Preview et est totalement supporté par les stratégies de protection des applications (MAM) ainsi que la gestion des périphériques mobiles (MDM).

Microsoft rappelle quelques éléments :

• Si vous êtes un développeur, vous devez utiliser la dernière version du SDK Intune.
• Si vous êtes un administrateur ou un développeur qui a utilisé une version antérieure de l’outil d’encapsulation d’application Intune (Intune App Wrapping Tool), l’équipe Intune va publier une nouvelle mise à jour d’ici quelques semaines afin de faire fonctionner vos applications métiers avec Android P.
• Microsoft rappelle qu’il faut encourager vos utilisateurs à mettre à jour le portail d’entreprise, le navigateur géré (Managed Browser) et toutes les applications MAM compatibles. Les dernières versions sont nécessaires pour le fonctionnement avec Android P.

Pour les entreprises qui utilisent le MDM de Microsoft Intune :

• L’assistant Company Access Setup peut ne pas fonctionner correctement sur un périphérique qui exécute une version préliminaire d’Android P. Microsoft va corriger le problème en août sur le portail Intune.
• Il y a un changement d’icône au niveau des profils de travail (Work Profiles) dans Android P pour Android Enterprise.

Source : https://blogs.technet.microsoft.com/intunesupport/2018/08/07/support-tip-intune-support-for-android-p/

Microsoft vient de publier un Management Pack pour permettre la configuration ou la reconfiguration de la connexion entre System Center Operations Manager (2012 R2/2016/1801) et Operations Management Suite (OMS). Microsoft a en effet intégré de nouvelles APIs dans OMS et ce Management Pack permet leur utilisation pour créer la connexion.

Pour rappel, System Center Operations Manager (SCOM) fait partie de la gamme System Center, il propose une supervision souple et évolutive de l’exploitation au niveau de toute l’entreprise, réduisant la complexité liée à l’administration d’un environnement informatique, et diminuant ainsi le coût d’exploitation. Ce logiciel permet une gestion complète des événements, des contrôles proactifs et des alertes, et assure une gestion des services de bout en bout. Il établit des analyses de tendance et des rapports, et contient une base de connaissances sur les applications et le système.

Télécharger :

• Micorsoft System Center 2012 R2 Operations Manager Management Pack to configure Operations Management Suite
• Microsoft System Center 2016 Operations Manager Management Pack to configure Operations Management Suite
• Microsoft System Center Operations Manager 1801 Management Pack to configure Operations Management Suite

Un problème semble toucher de plus en plus d’entreprises qui utilisent System Center Configuration Manager Current Branch pour mettre à jour le client Office 365 ProPlus. Dans ce cas de figure, vous pouvez voir le téléchargement de la mise à jour bloquée à 50% de téléchargement. La mise à jour finit ensuite par échouer.

Le problème est connu de Microsoft et concerne principalement Office lui-même. Le correctif est planifié pour Août 2018.

En attendant une des solutions de contournement qui peut permettre de débloquer la situation revient à renommer ou supprimer le cache de téléchargement dans C:\Program Files (x86)\Microsoft Office\Updates\Download.

Microsoft vient d’annoncer la mise à disposition d’un nouvel ensemble de fonctionnalités pour Microsoft Intune.

Les fonctionnalités suivantes sont ajoutées :

Enregistrement des périphériques

• [Windows 10] Le portail d’entreprise permet d’initier des synchronisations directement depuis la barre de tâches ou le menu démarrer via une action de clic droit et les jump lists. On retrouve une option Sync this device qui ouvre la page settings de Windows et initie une synchronisation.
• [Windows 10] Nouvelles expériences de navigation sur le portail d’entreprise de Windows permettant de changer de la vue par Tuiles à la vue Détails. La nouvelle vue liste des détails sur les applications comme le nom, l’éditeur, la date de publication et l’état d’installation. Plus d’informations sur : What's new in the UI.
• [Windows 10] Amélioration de l’expérience quand un gestionnaire d’enregistrement de périphérique (DEM) se connecte au portail d’entreprise. L’application liste maintenant uniquement les périphériques en cours d’exécution du DEM. Ceci réduit les timeouts précédents.
• [Android] Par défaut, les périphériques Android enregistrés à l'aide de Samsung Knox Mobile Enrollment sont maintenant marqués comme d’entreprise (Corporate). Vous n'avez pas besoin d'identifier manuellement les appareils de l'entreprise en utilisant IMEI ou les numéros de série avant de les inscrire en utilisant Knox Mobile Enrollment.

Gestion du périphérique

• [Général] Vous pouvez maintenant supprimer plusieurs périphériques à la fois sur la tuile des périphériques. Choisissez Devices > All devices > sélectionnez les périphériques à supprimer puis Delete. Pour les périphériques qui ne peuvent pas être supprimés, une alerte s'affiche.

Configuration du périphérique

• [Général] Microsoft a intégré une API Java qui permet aux autorités de certification tierces d'intégrer Intune et SCEP. Ensuite, les utilisateurs peuvent ajouter le certificat SCEP à un profil et l'appliquer aux périphériques.
• [Général] Support de S/MIME pour le chiffrement et la connexion d’utilisateurs sur plusieurs périphériques. Vous pouvez utiliser un nouveau profile de certificats : Device configuration > Profiles > Create profile > plateforme > PKCS imported certificate. Le certificat est ensuite déployé à plusieurs périphériques pour un même utilisateur. Ceci est supporté sur Windows 10, Windows 10 Mobile, macOS, iOS et Android :
  • Le profil email iOS natif prend en charge l'activation du chiffrement S/MIME à l'aide de certificats importés au format PFX.
  • L'application email native sur les périphérique Windows 10 Mobile utilise automatiquement le certificat S/MIME.
  • Les certificats privés peuvent être délivrés sur plusieurs plates-formes. Mais toutes les applications de messagerie ne prennent pas en charge S/MIME.
  • Sur d'autres plates-formes, vous devrez peut-être configurer manuellement l'application de messagerie pour activer S/MIME.
  • Les applications de messagerie qui prennent en charge le chiffrement S/MIME peuvent gérer la récupération des certificats pour le chiffrement de messagerie S/MIME d'une manière qu'un MDM ne peut pas prendre en charge, comme la lecture à partir de la liste de certificats de leur éditeur.
• [Général] Vous pouvez maintenant configurer si les navigateurs de Kiosk affichent ou non le bouton End Session. Si le paramètre est activé, lorsqu'un utilisateur clique sur le bouton, l'application demande une confirmation pour mettre fin à la session. Une fois confirmé, le navigateur efface toutes les données de navigation et revient à l'URL par défaut.
• [macOS] Vous pouvez créer une stratégie de conformité pour vérifier l’état du pare-feu sur macOS 10.12 ou plus via Device compliance > Policies > Create policy > Platform: macOS > System security. On retrouve les modes :
  • Firewall : Configure la façon dont les connexions entrantes sont gérées dans votre environnement.
  • Incoming connections: Bloquz toutes les connexions entrantes sauf celles requises pour les services Internet de base, tels que DHCP, Bonjour et IPSec. Ce paramètre bloque également tous les services de partage.
  • Stealth mode : Active le mode furtif pour empêcher l'appareil de répondre aux demandes de palpage. L'appareil continue de répondre aux demandes entrantes d'applications autorisées.
• [Windows 10] Vous pouvez maintenant créer des profils de configuration WifI directement dans Intune sans avoir à utiliser un fichier XML.
• [Windows 10] Les anciens profils Kiosk – Obsolete sont grisés et ne peuvent pas être changés.
• [Windows 10] Il devient possible de créer un profil de configuration eSIM cellular. Vous pouvez importer un fichier contenant les codes d'activation cellulaire fournis par votre opérateur mobile. Vous pouvez ensuite déployer ces profils sur vos périphériques Windows 10 compatibles eSIM LTE, tels que le Surface Pro LTE et d'autres périphériques compatibles eSIM.

Gestion des applications

• [Windows 10] Il devient plus facile d’éditer les déploiements d’application Office 365 Pro Plus. Il n’est donc plus nécessaire de supprimer le déploiement pour changer des propriétés.
• [Windows 10] Les extensions de fichiers pour les applications Windows permettent maintenant de déployer des .msix et .msixbundle en plus des .msi, .appx, et .appxbundle. Vous pouvez les ajouter en naviguant dans Mobile apps > Apps > Add. Vous sélectionenz le type d’application et vous pouvez ensuite uploader le fichier.
• [macOS] Support du déploiement d’applications métiers pour macOS comme requis ou disponible avec enregistrement. Les utilisateurs peuvent voir les applications disponibles via le portail d’entreprise pour macOS ou via le site web du portail d’entreprise.
• [iOS] Support des applications intégrées (par exemple Safari) pour le mode Kiosk.

Plus d’informations sur : https://docs.microsoft.com/en-us/intune/whats-new

Microsoft va proposer un événement de questions/réponses sur Microsoft Teams. Cet évènement aura lieu le jeudi 9 août de 18h à 19h (heure française). Ask Microsoft Anything est une belle opportunité pour poser des questions sur Microsoft Planner avec une réponse directe.

Vous devez être membre de Tech Community pour poster vos questions via l’adresse : https://aka.ms/teamsama

Source : https://techcommunity.microsoft.com/t5/Microsoft-Teams-AMA/Announcing-a-Microsoft-Teams-AMA/m-p/

L’équipe du support Microsoft Intune a fournit la procédure permettant de s’inscrire au programme Insider permettant d’obtenir l’accès aux versions préliminaires du portail d’entreprise de Microsoft Intune pour macOS. Ceci peut être particulièrement intéressant pour les entreprises qui souhaitent tester les changements ou voir les adaptations d’interface afin d’informer les utilisateurs.

Pour ce faire, vous devez :

• Installer le portail d’entreprise depuis le site web suivant ou depuis https://macadmins.software/
• Microsoft AutoUpdate doit automatiquement se lancer après l’installation. Vous pouvez aussi le lancer depuis le portail d’entreprise via le menu Help – Check for Updates.
• Lorsque Microsoft AutoUpdate se lance, vous pouvez cocher la case Join the Office Insider program.
• Sélectionnez le cercle de distribution Office Insider Slow et cliquez sur Check for updates.

Notez que cette configuration s’applique aussi à Office for Mac.

Source : https://blogs.technet.microsoft.com/intunesupport/2018/07/13/use-microsoft-autoupdate-for-early-access-to-the-macos-company-portal-app/

Microsoft a annoncé la dépréciation et le retrait de la version 8.0 du client Remote Desktop pour macOS pour le 1^er septembre. Microsoft recommande l’usage de la version 10 du client Remote Desktop. Cette dernière est disponible depuis l’AppStore.

La version 10.0 apporte notamment les nouveautés suivantes :

• Une nouvelle expérience utilisateur
• Les redirections de périphériques dans la session distante
• L’utilisation des raccourcis macOS dans la session distante (couper/copier/coller)

Vous pouvez importer les configurations de la version 8.0 si vous utilisez la version 8.0.43 via la fonction import connections.

Source : https://cloudblogs.microsoft.com/enterprisemobility/2018/07/13/deprecation-of-the-remote-desktop-8-0-client-for-macos/

Brandon Linton (MSFT) a publié un billet pour parler d’un problème qui touche la création d’images Windows 7 SP1 ou Windows Server 2008 R2 SP1. Le problème survient si vous installez Windows Management Framework 5.1 et que vous exécutez un sysprep. Vous recevez alors les erreurs :

Sysprep_Generalize_MiStreamProv: RegDeleteValue for target uri failed with error = 2[gle=0x00000002]

Sysprep_Generalize_MiStreamProv: RegDeleteValue for full payload time failed with error = 2[gle=0x00000002]

Pour contourner le problème, vous devez passer la valeur de registre LastFullPayloadTime à 0 (DWORD) au niveau de la clé HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\StreamProvider

Source : https://blogs.technet.microsoft.com/brandonlinton/2018/05/03/sysprep-fails-if-installing-windows-management-framework-5-1/

Microsoft a publié un PDF comportant toutes les commandes Windows sous forme d’une liste alphabétique. Ceci peut être particulièrement utile pour du scripting. On y retrouve la syntaxe, les paramètres, etc. Ce fichier est une extraction de la documentation.

Télécharger Windows Commands Reference

L’équipe du support Intune a publié un billet pour rappeler l’importance des certificats APNs pour la gestion des périphériques iOS et macOS avec Microsoft Intune. L’article explique :

• A quoi servent les certificats APNs ?
• Quelle est la durée de validité ? 1 an
• Qu’est-ce qu’il se passe si vous ne renouvelez pas le certificat avant l’expiration ? Vous ne pouvez plus enregistrer de nouveaux périphériques iOS et vous pouvez expérimenter des problèmes de gestion des périphériques existants.
• Est-ce que vous devez renouveler votre certificat APN ou en obtenir un nouveau ? Vous devez le renouveler pour ne pas avoir à réenregistrer les périphériques déjà gérés.
• Comment savoir si le certificat APN va expirer ?
• Comment renouveler le certificat ?
• Si vous avez plusieurs certificats APNs, comment savoir lequel vous devez renouveler ?
• Comment changer l’identifiant Apple utilisé par le certificat APN existant ? C’est une erreur assez commune. Plutôt que d’utiliser un compte générique, c’est celui d’un membre du support informatique qui est utilisé. Que se passe-t-il s’il quitte l’entreprise. Vous pouvez contacter Apple pour changer l’Apple ID associé au certificat.

Pour en apprendre plus : Intune and the APNs certificate: FAQ and common issues

Windows Defender Advanced Threat Protection est un service initialement inclus dans Windows 10 proposant une solution d’analyse, d’investigation et de réponse (forensic) permettant d’améliorer la détection et l’alerting. Il offre des actions de réponse et une vision courante des attaques possibles. Il permet de répondre à des attaques comme celles de ransomwares, malwares, etc.

Une des nouvelles fonctionnalités permet de chercher des traces de menaces sur l’ensemble des machines. Threat Hunting permet de lancer des actions sur tous les éléments constitutifs d’une machine (fichiers, dossiers, registre, communications, etc.)

Microsoft a mis à disposition des exemples de requêtes permettant d’utiliser cette fonctionnalité : https://github.com/Microsoft/WindowsDefenderATP-Hunting-Queries

Par exemple pour trouver les machines où la trace (hash) d’un fichier a été détecté, vous pouvez utiliser la requête :

// Find the machines on which this file was seen
// TODO - set file hash to be a SHA1 hash of your choice...
let fileHash = "e152f7ce2d3a4349ac583580c2caf8f72fac16ba";
find in (FileCreationEvents, ProcessCreationEvents, MiscEvents, RegistryEvents, NetworkCommunicationEvents, ImageLoadEvents)
where SHA1 == fileHash or InitiatingProcessSHA1 == fileHash
project ComputerName, ActionType, FileName, InitiatingProcessFileName, EventTime, SHA1, InitiatingProcessSHA1
| project ComputerName, ActionType, EventTime,
          FileName = iff(SHA1 == fileHash, FileName, InitiatingProcessFileName),
          MatchedSide=iff(SHA1 == fileHash, iff(InitiatingProcessSHA1 == fileHash, "Both", "Child"), "Parent")
| summarize makeset(ActionType), FirstEventTime=min(EventTime), (LastEventTime, LastActionType)=arg_max(EventTime, ActionType) by FileName, MatchedSide, ComputerName
| top 1000 by LastEventTime desc
| sort by ComputerName, LastEventTime desc

Ils sont sortis il y a plusieurs mois mais il est toujours bien de le rappeler les modèles d’administrations (ADMX, ADML) Active Directory pour Windows 10 1803 (Spring Creator Updates) sont disponibles. Les modèles d’administrations pour Active Directory permettent d’ajouter les paramètres permettant de personnaliser les paramétrages et valeurs de registre dédiées à Windows 10.

Télécharger Administrative Templates (.admx) for Windows 10 Creators Update

Depuis System Center Configuration Manager 1702, Microsoft permet d’activer une authentification à facteurs multiples (MFA) afin de faire des appels sur le SMSProvider et par conséquent utiliser la console.

Pour ce faire, vous devez :

1. Ouvrir WBEMTEST
2. Vous connecter à l’espace de nom root\sms_\site_<code de site>
3. Sélectionner Execute Method…
4. Dans le champ Object Path, entrez sms_site puis cliquez sur OK
5. Dans la liste Method, sélectionnez SetAuthenticationLevel
6. Cliquez sur Edit In Parameters…
7. Editez le propriété AuthenticationLevel en passant à 10 (authentification par PIN ou Smart Card) ou 20 (Authentification par PIN uniquement)
8. Editez la propriété ExceptionList pour spécifier des exceptions (comptes de service, etc.) en ajoutant les SIDs des utilisateurs ou des groupes de sécurité.
9. Cliquez ensuite sur Execute! et Dismiss

Plus d’informations sur l’article : Enable multi-factor authentication for SMS Provider calls

Microsoft vient de mettre à disposition la version finale (5.00.8692.1000) de System Center Configuration Manager 1806. ConfigMgr a subi une refonte de sa structure pour permettre des mises à jour aisées de la même façon que l’on peut le voir avec Windows 10. C’est pourquoi la fonctionnalité Updates and Servicing (nom de code Easy Setup) a été introduite. Vous devez donc utiliser cette dernière pour mettre votre site System Center Configuration Manager 1706. Si vous utilisez System Center 2012 Configuration Manager, vous devez mettre à jour votre site vers System Center Configuration Manager 1702 avant de pouvoir passer à cette version.

Note : Un script PowerShell est disponible pour permettre d’opter pour la première vague de déploiement.

System Center Configuration Manager 1806 comprend les nouveautés suivantes :

Administration

• Haute disponibilité du rôle serveur de site (Site Server). Il devient possible d’installer un site primaire additionnel dans un mode passif. Ce dernier peut être utilisé immédiatement si nécessaire. La base de données de site doit être distante des deux serveurs de site. La promotion du site primaire passif en actif, se fait manuellement. Un site primaire en mode passif :
  • Utilise la même base de données de site que le serveur de site actif.
  • Reçoit une copie de la librairie de contenu du serveur de site actif qui reste ensuite synchronisé.
  • N’écrit pas de données dans la base de données de site tant qu’il est en mode passif.
  • Ne supporte pas l’installation ou la suppression de rôles de système de site optionnel dès lors qu’il est en mode passif.
  • Peut-être On-Premises ou dans le Cloud Azure.
  • Doit être dans le même domaine que le serveur de site actif.
• Package Conversion Manager est maintenant intégré dans Configuration Manager afin de permettre de convertir des packages SCCM 2007 vers les applications Configuration Manager Current Branch. Cet outil avait été introduit dans System Center 2012 Configuration Manager pour faciliter la migration.
• CMTrace est maintenant installé avec le client Configuration Manager dans le répertoire %WinDir%\CCM\cmtrace.exe. Néanmoins, il n’est pas enregistré automatiquement avec Windows pour ouvrir les extensions de fichiers .log.
• La liste des périphériques dans Asset and Compliance de la console d’administration affiche maintenant par défaut l’utilisateur actuellement connecté. Cette valeur est remontée par les informations de l’état du client. La valeur est nettoyée lorsque l’utilisateur se déconnecte.

• La fonctionnalité Management Insights permet d’obtenir des informations sur l’état de l’environnement en fonction des données de la base de données.
  • Cette version ajoute les règles suivantes :
    • Les objets de configuration inutilisés : Les objets de configuration qui ne font pas partie d'une ligne de base de configuration et qui datent de plus de 30 jours.
    • Les images de démarrage (boot images) inutilisées : Images de démarrage non référencées pour le démarrage PXE ou l'utilisation d'une séquence de tâches.
    • Les groupes de limites sans système de site assigné : Sans systèmes de site affectés, les groupes de limites ne peuvent être utilisés que pour l'affectation de site.
    • Les groupes de limites sans membres : Les groupes limites ne sont pas applicables pour l'assignation de site ou la recherche de contenu s'ils n'ont pas de membres.
    • Les points de distribution ne servant pas de contenu aux clients : Les points de distribution qui n'ont pas servi de contenu aux clients au cours des 30 derniers jours. Ces données sont basées sur les rapports des clients sur l'historique de leurs téléchargements.
    • Les mises à jour expirées trouvées : Les mises à jour expirées ne s'appliquent pas au déploiement.
  • Une option permet de lancer des actions sur les règles Management Insights. Selon la règle, cette action présente l'un des comportements suivants :
    • Naviguer automatiquement dans la console jusqu'au nœud où vous pouvez réaliser l’action.
    • Naviguer jusqu'à une vue filtrée en fonction d'une requête.

• Les outils serveur Configuration Manager et les outils client sont maintenant inclus dans la Technical Preview. Retrouvez-les dans le dossier cd.latest\SMSSETUP\Tools sur le serveur du site. Aucune autre installation n'est nécessaire.

• Pour réduire le nombre d'objets découverts, vous pouvez maintenant exclure des conteneurs spécifiques de la découverte du système Active Directory. Cette fonctionnalité est le résultat des feedbacks UserVoice.
• Les informations sur l'utilisateur principal sont désormais visibles lorsque vous consultez les membres d'une collection sous Assets and Compliance ou Device Collections.
• Support d’Azure Resource Manager par le Cloud Distribution Point. Lors de la création d'une instance Cloud Distribution Point, l'assistant offre maintenant l'option de créer un déploiement Azure Resource Manager. Azure Resource Manager est une plate-forme moderne pour la gestion de toutes les ressources de la solution comme une seule entité, appelée groupe de ressources. Lors du déploiement d'un Cloud Distribution Point avec Azure Resource Manager, le site utilise Azure Active Directory (Azure AD) pour s'authentifier et créer les ressources Cloud nécessaires. Ce déploiement modernisé ne nécessite pas le certificat de gestion classique Azure.
• Lorsque vous utilisez l’installation poussée des clients (client push) pour installer le client Configuration Manager, le serveur du site crée une connexion à distance avec le client pour démarrer l'installation. A partir de cette version, le site peut exiger l'authentification mutuelle de Kerberos en ne permettant pas de revenir à NTLM avant d'établir la connexion. Cette amélioration permet de sécuriser la communication entre le serveur et le client.
• Les entreprises qui utilisent Windows AutoPilot pour provisionner Windows 10 sur les périphériques joints à Azure Active Directory qui sont connectés au réseau de l’entreprise (On-Premises). Pour installer ou mettre à niveau le client Configuration Manager sur ces périphériques, vous n'avez plus besoin d'un Cloud Distribution Point ou d'un point de distribution On-Prem configuré pour permettre aux clients de se connecter anonymement. Activez plutôt l'option du site pour utiliser les certificats générés par Configuration Manager pour les systèmes de site HTTP, ce qui permet à un client joint à un domaine cloud de communiquer avec un point de distribution HTTP On-Prem.
• Amélioration du support des communications clientes sécurisées avec Azure Active Directory (Azure AD). On retrouve notamment les nouveautés suivantes :
  • La sécurisation des communications client sans avoir besoin de certificats d’authentification de serveur délivrés via une PKI.
  • Les clients peuvent accéder contenu de manière sécurisée sans avoir besoin de recourir à un compte d’accès réseau. Note pour l’instant le déploiement de système d’exploitation requiert toujours un compte d’accès réseau.
• Un nouveau tableau de bord Cloud Management fournit une vue centralisée pour l'utilisation de la Cloud Management Gateway (CMG). Lorsque le site est embarqué avec Azure AD, il affiche également des données sur les utilisateurs et les périphériques dans le Cloud. Cette fonctionnalité inclut également CMG connection analyzer pour une vérification en temps réel afin de faciliter le dépannage. L'utilitaire dans la console vérifie l'état actuel du service et le canal de communication par l'intermédiaire du CMG Connection Point vers tous les Management Points qui permettent le trafic CMG.
• Amélioration de la Cloud Management Gateway :
  • La commande d’installation du client Configuration depuis Internet via la CMG demande moins de propriétés : CCMHOSTNAME et SMSSITECODE dans tous les cas auxquelles il faut ajouter AADCLIENTAPPID et ADDRESOURCEURI pour l’authentification Azure AD. Vous pouvez éventuellement ajouter SMSMP lorsque le client revient sur le réseau interne.
  • Il est maintenant possible de télécharger du contenu depuis la CMG et non plus uniquement un Cloud Distribution Point. Vous devez activer l’option suivante sur la CMG : Allow CMG to function as a cloud distribution point and serve content from Azure storage
  • Lorsque vous créez une CMG pour authentifier des clients Azure AD, il n’est plus nécessaire de spécifier un certificat racine. Ce prérequis reste toujours nécessaire si vous utilisez l’authentification via des certificats.
• Vous pouvez maintenant effectuer des copier/coller depuis le panneau Asset details des vues Deployment et Distribution Status de l’espace Monitoring.
• Amélioration du tableau de bord Surface en affichant maintenant une liste de périphériques pertinents lorsque des sections de graphique sont sélectionnées. Vous pouvez cliquer sur la tuile Percent of Surface Devices afin d’ouvrir une liste de périphériques surface. Vous pouvez cliquer sur une barre dans la tuile Top Five Firmware Versions afin d’ouvrir une liste des périphériques surface avec cette version de firmware spécifique. Lorsque vous visualisez ces listes de périphériques à partir du tableau de bord Surface, vous pouvez cliquer avec le bouton droit de la souris sur un périphérique et effectuer des actions.

Co-Management

• Support de l’interconnexion de plusieurs hiérarchies vers un seul tenant Azure Active Directory et Microsoft Intune
• Le Co-Management supporte maintenant la transition de
  • La configuration du périphérique par Microsoft Intune. Ceci vous laisse la possibilité de déployer des stratégies MDM tout en continuant de déployer des applications avec Microsoft Intune. La transition de cet élément déplace également la configuration de l'accès aux ressources et de protection des clients, qui constituent un sous-ensemble de la configuration des périphériques. Lorsque vous transférez cet élément, vous pouvez toujours déployer les paramètres ConfigMgr vers des périphériques cogérés, même si Intune est l'autorité de configuration des périphériques. Cette exception peut être utilisée pour configurer les paramètres requis par votre organisation mais qui ne sont pas encore disponibles dans Intune. Spécifiez cette exception sur une baseline de configuration. Activez l'option "Always apply this baseline even for co-managed clients" lors de la création de la baseline ou dans l'onglet Général des propriétés d'une baseline existante.
  • La charge de travail Office 365 de Configuration Manager vers Microsoft Intune pour le Co-Management. Microsoft a introduit un nouvelle condition globale « Are Office 365 applications managed by Intune on the device »
  • Les applications mobiles/modernes avec Microsoft Intune tout en continuant à utiliser Configuration Manager pour déployer les applications Win32. Pour transférer la charge de travail des applications modernes, allez à la page des propriétés du Co-Management. Déplacez la barre de défilement de Configuration Manager vers Pilote ou All. Après la transition de cette charge de travail, toutes les applications disponibles déployées à partir d'Intune sont disponibles dans le portail de l'entreprise. Les applications que vous déployez à partir du Configuration Manager sont disponibles dans le Software Center.
• A partir de cette version, les périphériques co-gérés avec Microsoft Intune, synchroniseront les stratégies MDM lorsque vous initiez l’action Download computer policy depuis les notifications clientes de la console d’administration.

Inventaire et Reporting

• CMPivot est un nouvel utilitaire dans la console qui permet d'accéder en temps réel à l’état des périphériques dans votre environnement. Il lance immédiatement une requête sur tous les périphériques actuellement connectés dans la collection cible et renvoie les résultats. Vous pouvez ensuite filtrer et regrouper ces données dans l'outil. En fournissant des données en temps réel à partir de clients en ligne, vous pouvez répondre plus rapidement aux questions des entreprises, résoudre les problèmes et répondre aux incidents de sécurité. Par exemple, pour atténuer les vulnérabilités Spectre, l'une des exigences est de mettre à jour le BIOS du système. Vous pouvez utiliser CMPivot pour interroger rapidement les informations du BIOS du système et trouver les clients qui ne sont pas en conformité. Vous pouvez exécuter à partir du résultat des actions comme la prise en main à distance, l’explorateur de ressources et l’exécution de scripts.
• La consultation des rapports de conformité aux mises à jour logicielles inclut traditionnellement les données des clients qui n'ont pas récemment contacté le site. Un nouveau rapport vous permet de filtrer les résultats de conformité pour un groupe de mise à jour logicielle spécifique par clients "sains". Ce rapport montre l'état de conformité plus réaliste des clients actifs dans votre environnement. Pour afficher le rapport, accédez à Monitoring – Reporting et exécutez Compliance 9 - Overall health and compliance. Ce rapport affiche le nombre total de clients sains vs le total des clients, l’aperçu de la conformité et le TOP5 des mises à jour avec le plus de clients non conformes.
• Amélioration de l’inventaire matériel avec notamment les valeurs pour les integer larges. La limite actuelle était de 4,294,967,296 (2^32). Microsoft passe à 18,446,744,073,709,551,616 (2^64). Ce qui permet de traiter des valeurs plus larges notamment pour les éléments comme l’espace disque total.
• Dans Configuration Manager 1710, la valeur par défaut utilisée pour les vues d’inventaire étaient passée de megabytes (MB) à gigabytes (GB). Avec l’amélioration des valeurs limitées pour l’inventaire matériel (large integer), la valeur a été repassée en MB.

Gestion du contenu

• Il est maintenant possible de relocaliser la librairie de contenu sur un autre emplacement de stockage. Cela peut être sur un autre disque du serveur de site, sur un serveur séparé ou sur des disques à tolérance de panne dans un SAN. Ceci est un nouveau prérequis pour la haute disponibilité du rôle de serveur de site.
• Les Pull Distribution Points supporte les Cloud Distribution Points comme source. Le Pull DP doit avoir un accès internet et doit pouvoir communiquer avec Microsoft Azure. Ce scénario peut être utile lorsque le lien WAN est plus rapide que le lien LAN qui relie le Pull DP aux points de distribution internes.
• Microsoft permet le support de LEDBAT par les points de distribution. Windows Low Extra Delay Extra Delay Background Transport (LEDBAT) est une fonctionnalité de Windows Server pour aider à gérer les transferts réseau en arrière-plan. Pour les points de distribution fonctionnant sur les versions supportées de Windows Server, vous pouvez activer une option pour aider à ajuster le trafic réseau. Les clients n'utilisent la bande passante réseau que lorsqu'elle est disponible. Le point de distribution doit exécuter Windows Server 1709 et les clients

• Support du téléchargement partiel par la fonctionnalité Client Peer Cache pour réduire l’utilisation WAN. Les sources Client Peer Cache peuvent maintenant diviser en différentes parties pour minimiser l’impact sur le WAN. C’est le Management Point qui fournit au client le détail permettant de suivre les différentes parties du contenu. doivent utiliser Windows 10 1607.
• Les groupes de limites incluent maintenant des paramètres additionnels permettant de mieux contrôler la distribution du contenu dans l’environnement :
  • Allow peer downloads in this boundary group est activé par défaut. Le Management Point fournit alors au client la liste des emplacements de contenu incluant la liste des sources client Peer Cache. La désactivation de cette fonctionnalité peut être utile pour les clients VPN ou pour les groupes de limites importants qui ne référencent pas de points de distribution.
  • During peer downloads, only use peers within the same subnet est dépendant du paramètrage ci-dessus. Dans ce cas, le Management Point n’inclut seulement dans la liste des emplacements de contenu, les sources client Peer Cache qui sont sur le même sous-réseau. Ceci peut être significatif pour la création d’un groupe de limites très large qui englobe de plus petits groups de limites ou lorsque vous avez un seul grand groupe de limites pour tous les sites distants.

Software Center

• Le Software Center/Centre Logiciels affiche maintenant la prochaine fenêtre de maintenance planifiée. Cette information se trouve dans Installation Status où vous pouvez cliquer dans Upcoming. On retrouve la prochaine fenêtre de maintenance ainsi que les déploiements qui s’exécuteront dans cette plage.

• Vous pouvez créer un onglet personnalisé dans le Software Center/Centre Logiciels pour ouvrir une page web. Ceci permet d’afficher du contenu à l’utilisateur final comme les informations de contact, de la documentation, etc. Le Software Center utilise les composants d’Internet Explorer pour afficher la page.

• Lorsque vous utilisez le Remote Control sur un client avec plusieurs moniteurs avec différentes résolutions DPI, le curseur de la souris correspond maintenant correctement entre les moniteurs.
• Vous pouvez maintenant contrôler si le lien Open the Application Catalog web site apparaît dans le nœud Installation Status du Software Center.

Déploiement d’applications

• Vous pouvez maintenant créer un déploiement par phases (Phased Deployments) avec des phases configurées manuellement.

• Intégration de l’outil de personnalisation Office (OCT) avec l’assistant Office 365 de la console. Vous pouvez donc dynamiquement configurer les paramétrages de gestion lorsque vous créez l’application Office 365 depuis la console. Ce dernier est mis à jour dès lorsqu’une nouvelle version d’Office 365 est publiée afin de bénéficier des nouveaux paramétrages de gestion dès lors qu’ils sont disponibles.
• Les rôles du catalogue d’applications ne sont plus nécessaires pour afficher les applications disponibles en libre-service à l’utilisateur dans le Software Center. Le client utilise maintenant le Management Point pour obtenir l’information ce qui de mieux gérer la charge dans les gros environnements en utilisant les Boundary Groups.
• Vous pouvez maintenant provisionner une application moderne Windows 10 sur des périphériques pour tous les utilisateurs. Auparavant, Configuration Manager ne supportait que les applications installées pour les utilisateurs.
•  Configuration Manager supporte maintenant le déploiement d’applications avec les nouveaux packages d’application Windows 10 (MSIX) et des bundles d’application (msixbundle). La dernière version Insider (17682) de Windows 10 supporte ces nouveaux formats.

Mises à jour logicielles

• Intégration des mises à jour logiciels tiers permettant de vous abonner aux catalogues partenaires dans la console Configuration Manager et de publier les mises à jour de WSUS. Vous pouvez ensuite déployer ces mises à jour à l'aide du processus de gestion des mises à jour logicielles existantes. Ceci est l’intégration et l’amélioration de ce que System Center Updates Publisher (SCUP) faisait auparavant. Configuration Manager peut notamment automatiquement configurer le client et déployer le certificat utilisé pour signer les mises à jour logicielles.

• L’assistant de nettoyage WSUS décline maintenant les mises à jour logicielles qui sont soit expirées soit replacées selon les règles de remplacement.

• Vous pouvez maintenant filtrer les règles de déploiement automatique pour exclure les architectures comme Itanium et ARM64.

• Déploiement de mises à jour logicielles sur les périphériques sans avoir téléchargé et distribué le contenu des mises à jour logicielles sur les points de distribution. Ceci permet de gérer les scénarios avec un contenu extrêmement large ou lorsque vous souhaitez que les clients récupèrent systématiquement les mises à jour depuis Microsoft Update. Il est possible qu’un client récupère la mise à jour depuis Microsoft Update et que les autres clients viennent récupérer le contenu via les fonctionnalités BranchCache, PeerCache ou Delivery Optimization.

Déploiement de systèmes d’exploitation

• Le déploiement par phases (Phased Deployments) est intégré et propose une expérience de supervision native. A partir de l’espace Monitoring – Deployments, vous pouvez sélectionner Phased Deployment Status. Ce tableau de bord comprend des informations telles que le nombre total de périphérique ciblé dans la phase, l’état de la phase (déploiement créé, en attente, suspendue), l’état de progression du déploiement (success, In progress, Error, Requirements Not Met, Unknown).

• Le modèle de séquence de tâches pour la mise à niveau de Windows 10 inclut maintenant u nouveau groupe avec des actions recommandées à ajouter en cas d’échec dans le processus de mise à niveau. On retrouve la capacité de collecter des logs, d’exécuter des outils de diagnostic (Windows SetupDiag, etc.)
• Amélioration du serveur PXE intégré à Configuration Manager via l’option Enable a PXE responder without Windows Deployment Service. L’option créé automatiquement les exceptions dans le parefeu Windows. En outre, on retrouve une amélioration de la journalisation.
• Amélioration du support des communications clientes sécurisées. Le compte d’accès réseau (Network Access Account) n’est plus requis pour le téléchargement du contenu depuis un point de distribution dans les scénarios suivants :
  • Des séquences de tâches (OS ou personnalisées) qui s’exécutent depuis un média de démarrage ou PXE
  • Des séquences de tâches (OS ou personnalisées) qui s’exécutent depuis le Software Center
• Le produit masque les données sensibles stockées dans les variables de séquence de tâches : Dans la tâche Set Task Sequence Variable, sélectionnez la nouvelle option Do not display this value. Par exemple, lorsque vous spécifiez un mot de passe. Les comportements suivants s'appliquent lorsque vous activez cette option :
  • La valeur de la variable n'est pas affichée dans smsts.log.
  • La console Configuration Manager et le fournisseur SMS traitent cette valeur de la même manière que d'autres secrets tels que les mots de passe.
  • La valeur n'est pas incluse lorsque vous exportez la séquence de tâches.
  • L'éditeur de séquence de tâches ne lit pas cette valeur lorsque vous modifiez l'étape. Retapez la valeur pour faire des changements.
• Masquer le nom du programme pendant la tâche Run Command: Pour empêcher l'affichage ou l'enregistrement de données potentiellement sensibles, configurez la variable de séquence de tâches OSDDoNotLogCommand à TRUE. Cette variable masque le nom du programme dans le fichier smsts.log pendant une étape de séquence de tâche de ligne de commande d'exécution.
• Vous pouvez spécifier des paramètres de ligne de commande additionnels à DISM en utilisant la variable OSDInstallDriversAdditionalOptions. Vous devez pour cela activer l’option Install Drivers package via running DISM with recurse sur la tâche Apply Driver Package.
• Les tâches Enable BitLocker et Pre-Provision BitLocker incluent maintenant une option Use full disk encryption pour chiffrer l’ensemble du disque et non plus l’espace disque utilisé.

Conformité des paramétrages

• Ajout de trois paramétrages Windows Defender SmartScreen aux paramétrages de conformité pour le navigateur Microsoft Edge:
  • Allow SmartScreen permet de spécifier si SmartScreen est autorisé
  • User can override SmartScreen prompt for sites spécifie si l’utilisateur peut outrepasser l’avertissement de Windows Defender SmartScreen pour un site.
  • User can override SmartScreen prompt for files définit si l’utilisateur peut outrepasser l’avertissement de Windows Defender SmartScreen pour un fichier.
• Cette version comprend une préversion des extensions SCAP. Pour rappel, Security Content Automation Protocol (SCAP) fournit une méthode de gestion des standards afin de mesurer la conformité, la vulnérabilité. SCAP est une suite de certaines normes ouvertes qui, ensemble, offrent une méthode uniforme d'analyser les systèmes informatiques et automatiquement identifier, mesurer et évaluer les problèmes potentiels de sécurité. SCAP est une initiative gouvernementale du NIST (National Institute of Standard and Technology) afin de construire le FDCC (Federal Desktop Core Configuration).

 Plus d’informations sur cette version : What’s new in version 1806

Pour obtenir les éléments relatifs au processus de mise à jour : https://docs.microsoft.com/en-us/sccm/core/servers/manage/updates

Microsoft vient de mettre à disposition la Technical Preview 1807 (5.0.8700.1000) de System Center Configuration Manager. Pour rappel, ConfigMgr a subi une refonte de sa structure pour permettre des mises à jour aisées de la même façon que l’on peut le voir avec Windows 10. Si vous souhaitez installer cette Technical Preview, vous devez installer la Technical Preview 1804 puis utiliser la fonctionnalité Updates and Servicing (nom de code Easy Setup).

System Center Configuration Manager TP 1807 comprend les nouveautés suivantes :

Administration

• Un espace Community Hub permet maintenant aux administrateurs de télécharger et récupérer des scripts et des objets de configuration liés à Configuration Manager. Ce nœud permet aussi d’afficher la documentation du produit et de faire des retours via UserVoice.

• Il est maintenant possible de voir l’état d’activité et de synchronisation de périphériques Co-gérés avec Microsoft Intune. L’état est récupéré depuis l’Intune Data Warehouse. Le tableau de bord Client Status affiche les clients inactifs utilisant Micorsoft Intune.

Déploiement d’applications

• Il est maintenant possible de spécifier une ligne de commande de réparation pour les types de déploiement Windows Installer et Script Installer. L’option de déploiement Allow end users to attempt to repair this application permet de specifier si l’utilisateur peut réparer une application via le Software Center.

• Vous pouvez configurer des notifications emails pour les demandes d’approbation des applications déployées en libre-service. Lorsque l’utilisateur demande une application, vous recevez un email où vous pouvez approuver ou refuser la demande sans avoir à ouvrir la console. Une partie de la fonctionnalité demande l’utilisation de la Cloud Management Gateway.

Mise à jour logicielles et conformité

• Amélioration du format de sortie de la fonctionnalité de création et d’exécution de scripts. Il est maintenant possible de voir la sortie dans un état brut ou dans une structure JSON.
• Amélioration de la fonctionnalité de déploiement des mises à jour tierces pour permettre la modification des catalogues personnalisés.

Déploiement de système d’exploitation (OSD)

• Suite à des retours, il est maintenant possible de spécifier le disque utilisé pour opérer l’Offline Servicing des images d’installation de système d’exploitation (WIM). Ceci était auparavant un problème puisque ce processus pouvait consommer un nombre important d’espace disque.

Plus d’informations sur : https://docs.microsoft.com/en-us/sccm/core/get-started/capabilities-in-technical-preview-1807   

SQL Server Management Studio a été décorrélé de l’installation de SQL Server depuis la version 2016, il est maintenant possible de télécharger l’outil séparément. La version 17.8.1 a été mise à disposition et permet de se connecter de SQL Server 2008 à SQL Server 2017.

Cette nouvelle version apporte :

• Introduction de l’interface utilisateur et support des scripts pour la propriété de groupe de fichiers de la base de données AUTOGROW_ALL_FILES.  Cette propriété a été introduite dans SQL Server 2016, mais elle n'était paramétrable que via le script T-SQL.  Vous pouvez maintenant définir la propriété via une case à cocher dans la page Propriétés de la base de données -> Groupes de fichiers.
• Expérience améliorée avec Intellisense dans SQL Azure DB lorsque l'utilisateur n'a pas d'accès master.
• Scripting : Améliorations générales des performances, en particulier sur les connexions à latence élevée.
• D’autres améliorations et corrections de bugs
  • Plans de maintenance : Correction d'un problème lors de l'édition des plans de maintenance avec Sql Authentification où "Notify Operator Task" échouait lors de l'utilisation de l'authentification SQL.
  • Scripting : Correction d'un problème où les actions PostProcess dans SMO conduisaient à l'épuisement des ressources et à des échecs de connexion SQL.
  • SMO : Correction d'un problème où Table.Alter() échoue avec l'ajout d'une colonne avec une contrainte par défaut si la table a déjà des données.
  • Always Encrypted : Correction d'un problème (dans DacFx) qui causait une erreur de délai de verrouillage lors de l'activation de Always Encrypted sur une table partitionnée.

Plus d’informations sur la Release Notes

Télécharger SQL Server Management Studio (SSMS) 17.8.1

Deepam Dubey (MSFT) a publié un très bon article détaillant comment la solution Windows Analytics Upgrade Readiness collecte l’inventaire des applications. Windows Analytics est utilisé par de nombreuses entreprises pour donner une visibilité sur les applications, le matériel, l’état de mise à jour et ainsi connaître l’état de conformité de son parc. Upgrade Readiness est notamment fréquemment utilisé pour évaluer la mise à niveau de Windows 7 vers Windows 10 ou d’une build antérieure de Windows 10 vers une plus récente.

Ainsi, les données sont collectées par un composant système appelé Appraiser qui collecte les éléments suivants :

• Les informations de registre pour récupérer les entrées dans Ajout/Suppression de programmes (ARP) pour les applications
• Les répertoires Windows standard comme Program Files, Program Files (x86) et Program Data.

Ceci permet de trouver les principales applications, tout en limitant l’impact des performances sur le système.

La question est souvent posée sur les forums pour savoir si les applications virtualisées via des solutions telles qu’App-V, Citrix Xen Apps, et VMware Thin Apps sont inventoriées ? Elles le sont dès lors qu’elles ont une entrée présente dans la partie Ajout/Suppression de programmes. Une propriété « Virtualized Apps » apparait pour identifier ces applications spécifiques.

Notez pour App-V que si la bulle est streamée ou déployée pour System Center Configuration Manager, cette dernière n’est pas présente dans Ajout/Suppression de programmes.

Microsoft met à jour ce composant Appraiser via les mises à jour cumulatives mensuelles sur Windows 10 ou via des mises à jour critiques sur Windows 7 SP1 et Windows 8.1 lorsque vous avez déployez les prérequis adéquats.

Vous obtiendrez plus d’informations intéressantes sur le dépannage, les bonnes pratiques, via l’article : How does Upgrade Readiness in WA collects application inventory for your OMS workspace?

Vous l’avez surement remarqué depuis quelques semaines, il n’est plus possible de récupérer les fichiers de journalisation (logs) de l’application du portail d’entreprise de Microsoft Intune. En lieu et place, on retrouve le processus suivant :

1. L’utilisateur clique sur le menu et sélectionne Help
2. Il peut choisir Contact your IT Department puis Email Support
3. L’utilisateur peut ensuite cliquer sur Send Email & Upload Logs
4. Il peut ensuite choisir l’application utilisée pour envoyer l’email mais le contenu reste vide
5. On retrouve ensuite un numéro d’identifiant et un message annonçant que l’upload est effectué.
6. L’email que l’utilisateur peut envoyer au support, l’invite simplement à décrire son problème.

Ce changement de comporte est commun pour tout le service afin de mettre en conformité vis-à-vis des dispositions requises par la loi européenne (GDPR).

Le service envoie donc les logs directement à Microsoft qui peuvent être consultés en ouvrant un ticket au support et en communiquant l’identifiant associé.

Microsoft a mis à jour l’outil Policy Analyzer présent dans Security Compliance Toolkit (SCT). Cet outil permet l’analyse et la comparaison d’ensemble de stratégies de groupe (GPOs). La mise à jour de l’outil permet de résoudre un problème de régionalisation pour la lecture des fichiers non-anglais de paramétrages d’audit avancés. Un autre bug corrige un crash lors de la lecture d’un fichier XML de sauvegarde de GPO invalide.

Microsoft en a aussi profité pour intégrer les dernières baselines pour Windows et Office qui ont été publiés avant cette mise à jour.

Télécharger Security Compliance Toolkit

Depuis des mois, Microsoft s’attèle à être prêt pour l’entrée en vigueur de la loi européenne GDRP. Tous les services ont évolué afin que les données collectées ou utilisées soient en accord avec les conditions et les éléments qui font partie de la GDRP. C’est par exemple pour cette raison que les noms des machines ont disparus de Windows Analytics Upgrade Readiness. Vous pouvez notamment choisir d’envoyer à nouveau cette information via des stratégies de groupes qui s’appliquent à Windows 10 1803. Lors de l’entrée en vigueur de la GDPR, les informations renvoyées par les machines Windows 7 et Windows 8.1 au service Windows Analytics Upgrade Readiness, n’avaient pas été totalement revues. Microsoft a donc décidé de ne plus inclure les nouvelles informations provenant de périphériques européens (incluant la Suisse) dans les Workspaces Operations Management Suite (OMS) dès le 14 mai.

Ceci n’était bien entendu pas applicable à Windows 10 qui avait déjà été totalement revu.

Microsoft a donc depuis le 2 juillet dernier réactivé un sous-ensemble limité de données de diagnostic pour les périphériques Windows 7 afin d’utiliser ces données dans Windows Analytics Upgrade Readiness. Il est à noter que les données relatives à l’usage des applications et à la découverte des sites Internet Explorer ne sont pas disponibles.

Afin de permettre la reprise de la collection de données, vous devez exécuter la dernière version du script de déploiement Upgrade Readiness sur les machines Windows 7.

Notez que les données pour les périphériques Windows 8.1 ne sont toujours pas disponibles pour les périphériques européens. Microsoft travaille sur le sujet.

Source : https://blogs.technet.microsoft.com/upgradeanalytics/2018/07/02/upgrade-readiness-re-enabled/

Microsoft vient de mettre à disposition la préversion de l’outil de packaging MSIX (MSIX Packing Tool) depuis le Microsoft Store. Cet outil permet de prendre un package d’application Win32 existant et de la convertir au format MSIX. Vous utilisez pour cela une machine de référence pour exécuter l’outil et obtenir le package MSIX que vous pouvez ensuite déployer à la main, par votre outil de télédistribution ou depuis le Microsoft Store.

Pour rappel, le format MSIX est un nouveau format standardisé lancé par Microsoft pour remplacer l’ensemble des formats de packaging existants tout en bénéficiant des avancés des différentes solutions : Click-To-Run (C2R), App-V, APPX et plus généralement du Framework d’applications universelles (UWP). Il offre donc des mécanismes de conteneurisation et les bénéfices des applications universelles avec une installation, mise à jour et désinstallation aisée sans laisser aucune trace sur le système. Il fournit aussi des mécanismes de sécurisation avancés permettant de valider l’intégrité du code exécuté. Ce format permet aussi de créer des personnalisations pour les applications packagées et de les faire perdurer au travers des différentes mises à jour de l’application.

Cette préversion permet les scénarios suivants :

• Packaging d’applications au format MSI, EXE, App-V 5.x) vers MSIX
• Créer un package de modification pour un package nouvellement créé via l’option Modification Package
• L’ouverture d’un package MSIX pour voir et éditer les propriétés via l’option Open package editor.

Il n’est pour l’instant pas possible de convertir des packages App-V 4.6 SP3, d’avoir accès à l’interface en ligne de commande, de packager sur un machine virtuelle existant, et certaines options ne permettent pas encore d’ajout ou supprimer des fichiers virtuels ou des éléments dans le registre virtuel.

Pour accéder à l’outil, vous devez :

• Participer au programme Windows Insider Fast ou Slow Ring
• Avoir Windows 10 17701 ou plus
• Avoir les droits d’administrateur sur la machine
• Avoir un compte Microsoft pour accéder au Microsoft Store.

Plus d’informations sur : MSIX Packaging Tool (Preview) is now available from the Microsoft Store

Plus d'éléments sur le format MSIX sur MSIX Intro

Télécharger MSIX Packing Tool

Depuis la Technical Preview 1803 de System Center Configuration Manager, Microsoft s’attache à améliorer l’intégration de la fonctionnalité permettant de déployer des mises à jour tierces sur les machines. Steve Rachui (PFE) propose une vidéo sous forme de tutoriel pour couvrir l’historique, les prérequis, la configuration et différentes démonstrations.

Microsoft a publié un changement (MC144243) sur la gestion des périphériques mobiles (MDM) en mode hybride avec System Center Confguration Manager et Microsoft Intune dans le Message Center du portail Office 365.

L’administrateur peut spécifier qu’un périphérique sans stratégie de conformité doit être marqué comme non conforme et ainsi se voir bloquer l’accès aux ressources de l’entreprise. Cette configuration avait déjà été proposé aux entreprises utilisant Microsoft Intune en mode autonome.

La fonctionnalité n’est pas activée par défaut et l’administrateur doit choisir explicitement de le faire dans le portail Intune dans Microsoft Azure. Si la fonctionnalité est activée et que le périphérique ne se voit pas assigner de stratégie de conformité alors il sera marqué comme non conforme et perdra l’accès aux ressources de l’entreprise telles que les emails, SharePoint, etc.

Microsoft fournit une requête SQL qui permet de déterminer l’impact sur votre environnement en listant les machines qui ne sont pas ciblées par une stratégie de conformité :

IF OBJECT_ID('tempdb..#DeviceTypeToOS', 'U') IS NOT NULL
DROP TABLE #DeviceTypeToOS;
CREATE TABLE #DeviceTypeToOS
  (
    AgentEdition int,
    tmpOSName nvarchar(100),
    tmpCISubType nvarchar(100),
  )

Insert into #DeviceTypeToOS (AgentEdition, tmpOSName, tmpCISubType)
Values
(1, 'Windows Phone', ''),
(4, 'Windows Phone', ''),
(7, 'Windows Phone', ''),
(8, 'iOS', 'iPhone'),
(9, 'iOS', 'iPad'),
(10, 'iOS', 'iPhone'),
(11, 'Android', 'Android'),
(14, 'MacMDM', 'Mac'),
(15, 'Windows', 'Holographic'),
(17, 'Android', 'AndroidForWork')

Select CDR.Name AS DeviceName, CDR.DeviceOS, CDR.SiteCode, CDR.LastActiveTime, CDR.ManagementAuthority, CDR.SMSID, CDR.SerialNumber, CDR.IMEI  from vSMS_CombinedDeviceResources CDR
WHERE
CDR.ManagementAuthority = 1
AND CDR.IsObsolete != 1
AND CDR.MachineID NOT IN (
                            SELECT
                            devData.ItemKey
                            FROM System_DISC devData
                            INNER JOIN UserMachineRelation UMR ON devData.ItemKey = UMR.MachineResourceID
                            INNER JOIN User_DISC usrDisc ON usrDisc.Unique_User_Name0 = UMR.UniqueUserName
                            INNER JOIN MDMUserPolicyAssignment userPol ON userPol.UserID = usrDisc.CloudUserID
                            INNER JOIN CI_CIAssignments cias ON cias.Assignment_UniqueID = userPol.PolicyID
                            INNER JOIN CI_AssignmentTargetedCIs ciatc ON ciatc.AssignmentID = cias.AssignmentID
                            INNER JOIN CI_ConfigurationItemRelations cirs ON cirs.FromCI_ID = ciatc.CI_ID
                            INNER JOIN CI_CICategories ciCatg ON ciCatg.CI_ID = ciatc.CI_ID
                            INNER JOIN CI_CategoryInstances catgInst ON catgInst.CategoryInstanceID = ciCatg.CategoryInstanceID
                            INNER JOIN CI_ConfigurationItems cis ON cirs.ToCI_ID =  cis.CI_ID
                            INNER JOIN SupportedPlatforms supPlat ON cis.CI_UniqueID = supPlat.CI_UniqueID
                            INNER JOIN #DeviceTypeToOS typToOS ON typToOS.AgentEdition = devData.AgentEdition0
                            WHERE
                            devData.ManagementAuthority = 1  
                            AND devData.Active0 = 1
                            AND cias.AssignmentEnabled = 1
                            AND cis.IsEnabled = 1
                            AND catgInst.CategoryInstance_UniqueID = 'SettingsAndPolicy:SMS_CompliancePolicySettings'
                            AND cis.CIType_ID = 14
                            AND (devData.AgentEdition0 = 1 OR supPlat.OSPlatform = typToOS.tmpOSName)
                            AND [dbo].[fn_StringToVersion](ISNULL(devData.Client_Version0, '0.0.0.0')) BETWEEN [dbo].[fn_StringToVersion](supPlat.OSMinVersion) AND [dbo].[fn_StringToVersion](supPlat.OSMaxVersion)
                            AND ((devData.AgentEdition0 = 1 AND ((devData.CPUType0 like '%64%' AND cis.CI_UniqueID like '%64%' ) OR (devData.CPUType0 like '%86%' AND cis.CI_UniqueID like '%86%' ))) OR (devData.AgentEdition0 != 1 AND cis.CI_UniqueID like '%' + typToOS.tmpCISubType + '%')))

Ensuite, vous pouvez créer une stratégie de conformité pour les périphériques renvoyées et la déployer sur une collection d‘utilisateurs qui inclut le propriétaire du périphérique. Une fois la stratégie crée et active, vous pouvez réexécuter la requête pour valider qu’il n’y a plus de périphériques concernés. Vous pouvez ensuite activer la fonctionnalité : https://aka.ms/compliance_policies