Tout comme pour Windows Server, Windows et System Center Configuration, Microsoft a SaaSifié la gamme System Center. On retrouve la première version Semi-Annual Channel (SAC) pour les produits Datacenter de la suite System Center. System Center 1807 est disponible dès maintenant pour les clients avec un support de 18 mois. Microsoft va continuer de proposer une version Long-Term Servicing Channel (LTSC) a une fréquence mois élevée avec une durée de support de 5 ans (standard) et de 5 supplémentaire en support étendu.

Voici les nouveautés :

Général

• Support de SQL Server 2017.
• Corrections de bugs

Virtual Machine Manager

• Support de la virtualisation imbriquée permettant d’exécuter Hyper-V dans une machine virtuelle Hyper-V
• Support de la migration de machines virtuelles VMWare EFI vers des machines virtuelles Hyper-V de génération 2.
• Amélioration du processus de conversion de machines virtuelles VMWare en le rendant 50% plus rapide.
• Amélioration des performances du composant Host Refresher notamment dans les environnements avec de nombreux hôtes et machines virtuelles avec checkpoints.
• Support des sessions console améliorées. Celle-ci prend en charge les opérations Couper (Ctrl + X), Copier (Ctrl + C) et Coller (Ctrl + V) sur le texte ANSI et les fichiers disponibles dans le presse-papiers, ce qui permet de copier/coller les commandes pour le texte et les fichiers depuis et vers la VM.
• Amélioration de Storage Quality of Service (SQoS) avec notamment :
  • Extension du support de SQoS au-delà de S2D - Vous pouvez désormais affecter des stratégies de QoS de stockage aux réseaux de stockage (SAN).
  • Support de VMM private cloud - les stratégies de QoS de stockage peuvent désormais être consommées par les tenants du cloud VMM.
  • Disponibilité des stratégies de QoS de stockage en tant que modèles - Vous pouvez définir des stratégies de QoS de stockage par le biais des modèles VM.
• Support la fonctionnalité IP flottante grâce au Software Load Balancer (SLB) dans les scénarios SDN. Support du clustering par le biais d'un load balancer interne (ILB) VIP. L'ILB utilise des ports de sonde, qui sont créés sur le cluster de VMs invitées pour identifier le nœud actif.
• Support de la configuration de Virtual IP (VIP) du Software Load Balancer tout en déployant des applications multiniveaux en utilisant des modèles de service.
• Support du chiffrement des réseaux de machines virtuelles. Grâce à la nouvelle fonctionnalité de réseaux chiffrés, le chiffrage de bout en bout peut être facilement configuré sur les réseaux VM à l'aide du contrôleur de réseau (NC). Ce chiffrage empêche le trafic entre deux machines virtuelles sur le même réseau et le même sous-réseau, d'être lu et manipulé.
• Support du provisionnement de machines virtuelles Linux protégées (Shielded VMs) de Windows Server 1709+.
• Un hôte gardé (Guarded Host) peut être configuré avec une paire primaire et secondaire d’URLs Host Guardian Service. Les capacités permettent un déploiement de fabric gardée à travers deux datacenters.
• Support de la gestion des machines virtuelles ARM dans Microsoft Azure.
• Support de l’authentification Azure Active Directory (AAD)  et des nouvelles régions (Germany, China et US Government)

Operations Manager

• Il devient possible de renseigner la clé produit depuis la console ou pendant l’installation. En outre, la cmdlet PowerShell Set-SCOMLicense a été mis à jour pour supprimer l’enregistrement de la clé de produit à distance.
• Améliorations de performance dans la console qui empêchent généralement la console de répondre lorsqu'un nouveau Management Pack est importé ou supprimé, ou lorsqu'un changement de configuration d'un MP est sauvegardé.
• Vous pouvez maintenant utiliser un agent Linux avec le support de FluentD pour la supervision des fichiers journaux au même niveau que Windows Server. Cette mise à jour apporte les améliorations suivantes par rapport à la supervision précédente des fichiers journaux :
  • Vous pouvez utiliser des caractères génériques dans le nom et le chemin du fichier des journaux.
  • Nouveaux modèles de correspondance pour la recherche de journaux personnalisable comme la correspondance simple, la correspondance exclusive, la correspondance corrélée, la corrélation répétée et la corrélation exclusive.
  • Support des plugins génériques Fluentd publiés par la communauté fluentd.
• La console Web a été redessinée et est maintenant une console entièrement basée sur HTML et ne dépend plus de Silverlight. L’authentification réseau est activée avec la nouvelle console web. Les nouveaux tableaux de bord ont été revus avec :
  • Interface utilisateur moderne
  • Création simplifiée de widgets et de tableaux de bord.
  • Accessible à partir de plusieurs navigateurs
  • Amélioration de l'expérience de dépannage avec l’exploration de pages.
  • Extensibilité avec un widget personnalisé utilisant une nouvelle API REST.
  • Exporter et partager des tableaux de bord
• Visual Studio Authoring Extension (VSAE) est mis à jour pour être compatible avec Visual Studio 2017.
• Extension de la fonctionnalité MP Updates and Recommendations pour inclure la découverte et le téléchargement de mises à jour de Management Packs tiers.
• Operations Manager peut désormais prendre en charge l'authentification Kerberos partout où le protocole WS-Management est utilisé par le Management Server pour communiquer avec les ordinateurs UNIX et Linux, offrant une plus grande sécurité en n'ayant plus besoin d'activer l'authentification de base pour Windows Remote Management (WinRM).
• Service Map découvre automatiquement les composants applicatifs sur les systèmes Windows et Linux et mappe la communication entre les services. Il construit automatiquement une carte de référence commune des dépendances entre vos serveurs, processus et services tiers. L'intégration entre Service Map et System Center Operations Manager vous permet de créer automatiquement des diagrammes d'application distribués dans Operations Manager qui sont basés sur les cartes de dépendances dynamiques dans Service Map.
• SCOM 1807 permet l’activation et la désactivation d’Application Performance Monitoring (APM) lors du déploiement de l’agent.

Orchestrator / Service Management Automation

• Cette version contient les corrections de bugs publiés dans l’Update Rollup 1 de SMA 2016.

Data Protection Manager

• Les rapports d'état n'incluent pas les points de récupération des clients ou des ordinateurs portables.
• Les sauvegardes Hyper-V ne fonctionnent pas en raison de timeouts pour les checkpoints sur le serveur Hyper-V.
• Les tâches principales de DPM échouent en raison de la création en cours de points de récupération par le serveur secondaire.
• La console Data Protection Manager plante lorsque le travail de nettoyage nocturne dure longtemps.
• Lorsque vous créez ou modifiez un groupe de protection, vous recevez un message d'avertissement concernant le dépassement des limites de données, même pour des sources de données plus petites, lorsque vous protégez des machines virtuelles Hyper-V (VM).
• Data Protection Manager vérifie la cohérence des données de transfert des VMs Hyper-V qui sont supérieures à la taille réelle des fichiers de VMs.
• L'interface DPM freeze après son démarrage s'il existe de nombreux points de récupération pour les sources de données.
• Les mises à jour de Data Protection Manager échouent lorsque Transport Layer Security (TLS) 1.2 est activé.

 Service Manager

• Service Manager supporte une expérience améliorée pour l’évaluation du produit et son activation. Vous pouvez maintenant voir les informations concernant le nombre de jours d’évaluation restants.
• Cette version contient tous les correctifs publiés dans l’Update Rollup 4 de SCSM 2016.
• Ajout du support de TLS 1.2.

Plus d’informations sur : https://cloudblogs.microsoft.com/windowsserver/2018/07/24/system-center-1807-available-now/

Télécharger :

• La version d’évaluation
• La version sous licence sur MVLS.
• Microsoft System Center Service Manager 1807

Microsoft vient de publier la mise à jour de révision de Juillet 2018 pour sa suite Microsoft Desktop Optimization Pack (MDOP). Pour rappel, Microsoft a revu son processus de publication des correctifs qui touchent Microsoft Desktop Optimization Pack (MDOP) avec l’arrivée de Windows 10. On retrouve des mises à jour de maintenance (Servicing Release) chaque mois. Ces dernières sont directement incluses dans les mises à jour cumulatives de Windows 10 ou peuvent être déployées séparément pour les versions de systèmes d’exploitation antérieures. 

Cette version adresse les corrections suivantes dans MBAM 2.5 SP1 :

• Corrige un problème dans lequel l'agent MBAM ne parvient pas à chiffrer les volumes dans les versions 32 bits de Windows.
• Corrige un problème lorsque l'agent MBAM bloque les clés de récupération des volumes amovibles.
• Résout un problème avec les rapports du Help Desk MBAM 2.5 SP1 lors de l’utilisation des dernières versions de SQL Server Reporting Services (SSRS).
• Ajoute le support de SQL Server 2017.

Notez qu’il n’est pas recommandé d’utiliser les exécutables puisque des problèmes de sécurité, ont été remontés. Privilégiez donc l’usage des fichiers MSI.

Pour obtenir plus d’informations et le correctif, rendez-vous sur la KB4340040 July 2018 servicing release for Microsoft Desktop Optimization Pack

Télécharger Microsoft Desktop Optimization Pack July 2018 Servicing Release

J’arrive surement un peu après la guerre sur ce sujet néanmoins il est toujours bon d’informer. En juin dernier, Microsoft a publié à son habitude le Patch Tuesday avec des mises à jour cumulatives pour les différentes versions de Windows 10 et Windows Server 2016. Au bout de quelques heures/jours, la communauté a remonté un problème concernant les machines équipées de Windows 10 1607 ou Windows Server 2016. La mise à jour cumulative associée ne semblait pas s’appliquer et remontait un statut conforme par défaut.

En regardant de plus près la mise à jour June 21, 2018—KB4284833 (OS Build 14393.2339), on peut observer qu’un prérequis est nécessaire. Une mise à jour de la pile de maintenance (Servicing Stack Update) (KB4132216) classifiée comme critique doit être installée avant cette mise à jour cumulative afin qu’elle puisse devenir applicable.

Ce prérequis ne s’applique plus à la mise à jour cumulative de Juillet (July 16, 2018—KB4345418 (OS Build 14393.2368)).

Voilà un problème qui est posé fréquemment sur les forums ou par email. Vous constatez lors de l’enregistrement d’une machine Windows 10 dans une solution de gestion de périphériques mobiles (MDM) que l’option n’est pas disponible dans l’application Paramètres/Settings - Compte/Account – Access work or school.

Vous constatez dans l’interface que vous n’êtes connecté à aucune infrastructure mais l’option « S'enregistrer à la gestion des périphériques / Enroll only in Device Management » n’est pas listée :

Si vous cliquez sur Connect afin de connecter la machine à Azure Active Directory, l’opération échoue avec le message : Nous avons rencontré un problème.

Ce problème peut avoir de nombreuses causes mais le problème le plus fréquent est que la machine possède un client System Center Configuration Manager.

Vous devez alors le désinstaller avec la commande : ccmsetup.exe /uninstall depuis le répertoire d’installation (C:\Windows\CCMSetup)

Notez que ce comportement a changé depuis l’arrivée du Co-Management si ce dernier est activé sur l’infrastructure avec lequel le client dialogue.

Un autre problème peut être une mauvaise désinscription du périphérique à la solution de gestion de périphérique mobile (MDM) précédente. Dans ce cas, vous devez opérer un nettoyage spécifique sous la clé de registre HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Enrollments. Vous observez des clés avec des identifiants. Une des clés doit comprendre plus d’informations que les autres. Vous devez alors supprimer la clé et les sous-valeurs associées.

Microsoft prépare actuellement de nouvelles certifications à destination des administrateurs de Microsoft Azure. Ces certifications remplacent la certification précédente : 533: Implementing Microsoft Azure Infrastructure Solutions.

On retrouve donc deux certifications :

• AZ-100: Microsoft Azure Infrastructure and Deployment
  • 15-20% sur la gestion des abonnements et des ressources Azure
  • 20-25% sur l’implémentation et la gestion du stockage
  • 20-25% sur le déploiement et la gestion des machines virtuelles
  • 20-25% sur la configuration et la gestion des réseaux virtuels
  • 15-20% sur la gestion des identités
• AZ-101: Microsoft Azure Integration and Security
  • 15-20% sur l’évaluation et l’exécution de migration de serveur vers Azure
  • 20-25% sur l’implémentation et la gestion des services d’application
  • 30-35% sur les réseaux virtuels avancés
  • 25-30% sur la sécurisation des identités

On retrouve une troisième certification qui permet de vous mettre à niveau si vous avez eu la certification 533 : AZ-102: Microsoft Azure Administrator Certification Transition

Des codes de passage sont disponibles pour les 300 premiers :

• AZ-100 : AZ100TRAVELING
• AZ-101 : AZ101HIKING
• AZ-102 : AZ102PLANS

Source : https://www.microsoft.com/en-us/learning/community-blog-post.aspx?BlogId=8&Id=375147

Il y a quelques jours, Microsoft a annoncé la disponibilité générale du client Web pour Remote Desktop pour Windows Server 2016 et Windows Server 2019 Preview. Vous pouvez ajouter le client web à une infrastructure existante via les commandes PowerShell.

Cette version web est simplifiée avec les fonctionnalités essentielles telles que :

• L’accès au bureau ou aux applications publiées via un abonnement (feed)
• Le Single Sign-on
• L’impression vers un fichier PDF
• L’audio en sortie
• Les résolutions dynamiques et le plein écran
• Le copier/coller de texte en utilisant les raccourcis (Ctrl + C et Ctrl + V)
• Le support des entrées par le clavier et la souris
• La localisation en 18 langues (dont le français)

Le client web est supporté par les principaux navigateurs :

• Microsoft Edge
• Internet Explorer 11
• Google Chrome
• Mozilla Firefox
• Apple Safari

Ceci permet de couvrir les principales plateformes : Windows, macOS, Chromebook et Linux.

Pour voir comment installer le client web, vous pouvez vous référer à la page d’instruction et utiliser les cmdlets PowerShell de la galerie.

Source : https://cloudblogs.microsoft.com/enterprisemobility/2018/07/16/remote-desktop-web-client-now-generally-available/

L’équipe Exchange a publié un billet concernant un problème survenant après l’application des mises à jour Windows publiées à l’occasion du Patch Tuesday du 10 Juillet 2018. Vous avez pu être impacté par cette mise à jour qui engendrait un problème de fonctionnement de vos infrastructures Exchange. Depuis le 18 Juillet, une nouvelle mise à jour a été publiée pour corriger les problèmes engendrés par l’ancienne mise à jour. Ces mises à jour sont disponibles depuis Windows Update, WSUS ou le catalogue Microsoft Update.

Pour Windows Server 2016, une mise à jour remplaçant l’ancienne a été publiée. Vous devez donc vous assurer de l’appliquer sur vos serveurs Exchange Server hébergés sur Windows Server 2016.

Pour les versions antérieures, une mise à jour additionnelle a été publiée et doit être installée à la suite de la première mise à jour.

Voici le tableau pour chaque système :

Plus d’informations sur le billet de l’équipe : Issue with July Updates for Windows on an Exchange Server

Microsoft vient d’annoncer la mise à disposition d’un nouvel ensemble de fonctionnalités pour Microsoft Intune.

Les fonctionnalités suivantes sont ajoutées :

Enregistrement des périphériques

• [Général] Microsoft a revu les messages que les utilisateurs peuvent voir quand un périphérique n’est pas conforme. Les messages conservent leur signification originale mais ont été mis à jour avec un langage plus amical et un jargon moins technique. Microsoft a également mis à jour les liens vers la documentation et les mesures correctives afin de les tenir à jour.
• [Général] Lors de l’upload des identifiants d’entreprise, Intune fournit la liste des identifiants dupliqués et propose une option permettant de remplacer ou garder les informations existantes.
• [Général] Vous pouvez maintenant ajouter manuellement des identifiants de périphérique d’entreprise via Device enrollment > Corporate Device Identifiers > Add.

• [macOS] Vous pouvez accéder aux préversions du portail d’entreprise pour macOS en joignant le programme Insider via le lien suivant.
• [iOS] dans la liste des tokens pour le programme d’enregistrement, il y a une nouvelle colonne qui affiche le nombre de périphériques sans un profil assigné. Ceci permet d’aider à l’assignation de profils avant de donner les périphériques à l’utilisateur.

Gestion du périphérique

• [Général] De nouvelles règles sont disponibles afin de supprimer automatiquement les périphériques qui ne se sont pas connectés depuis un certain nombre de jours. Cette configuration est disponible depuis la partie Devices > Device cleanup rules.

• [Général] Vous pouvez utiliser le sAMAccountName On-premises comme nom d’utilisateur d’un compte pour des profils email pour Android, iOS et Windows 10. Vous pouvez aussi obtenir le domaine avec les attributs domain ou ntdomain dans Azure Active Directory ou utiliser un nom de domaine statique personnalisé. Afin d’utiliser cette fonctionnalité, vous devez synchroniser l’attribut sAMAccountName depuis l’environnement Active Directory On-Prem.
• [Général] Dans la partie Device Configuration, vous pouvez voir la liste des profils existants et ceux qui rentrent en conflit.
• [Général] Dans Device Compliance > Policies > <Stratégie> > Overview, les états suivants ont été ajoutés : succeeded, error, conflict, pending, not applicable.
• [Windows 10] Vous pouvez maintenant utiliser l’état de conformité des solutions antivirales tierces pour la création de stratégie de conformité. L’état de l’antivirus et de l’anti logiciel malveillant peut être utilisé.

• [Windows 10] Si vous avez activer le mappage de groupe pour les périphériques, les utilisateurs sur Windows 10 sont maintenant invités à sélectionner la catégorie du périphérique après l’enregistrement via le bouton Connect dans Settings > Accounts > Access work or school.
• [Android] Intune supporte maintenant les périphériques Android verrouillés ou en mode Kiosk plus communément appelés Corporate-Owned Single Use (COSU). Ceci permet aux administrateurs de verrouiller le périphérique à un usage unique avec une ou plusieurs applications. Vous pouvez le configurer via Intune > Device enrollment > Android enrollment > Kiosk and task device enrollments.

• [Android] Changement de la terminologie Android for Work et Play for Work pour refléter le changement de nom de Google :
  • Android Enterprise se réfère à la solution de gestion moderne d’Android
  • Work Profile ou Profile Owner se réfère aux périphériques BYOD gérés avec des profils de travail
  • Managed Google Play se réfère au store d’application Google.

Configuration du périphérique

• [Général] Lorsque vous installez le connecteur de certificat NDES sur un ordinateur configuré pour le mode Federal Information Processing Standard (FIPS), le connecteur ne fonctionnait pas comme souhaité pour la délivrance et la révocation de certificats. Avec cette mise à jour du connecteur, on retrouve le support de FIPS. En outre, cette version du connecteur requiert le .NET Framework 4.5. Enfin, le connecteur support TLS 1.2 si le serveur qui l’héberge a été configuré pour utiliser ce dernier. Si le serveur n’est pas configuré pour TLS 1.2, alors le connecteur utilise TLS 1.1.

Protection du périphérique

• [Général] Pradeo est un nouveau partenaire de Mobile Threat Defense (MTD). L’intégration avec Microsoft Intune permet de contrôler l’accès aux ressources de l’entreprise via l’accès conditionnel en fonction de l’évaluation du risque fait par cette solution.

Gestion des applications

• [Général] Vous pouvez maintenant superviser l’état de configuration des applications iOS pour chaque périphérique géré en naviguant dans Devices > All Devices > Depuis un périphérique > via la tuile App Configuration.
• [Général] Vous pouvez maintenant configurer une stratégie de protection des applications mobiles pour explicitement effacer, bloquer ou avertir des périphériques non conformes. L’action d’effacement supprime toutes les données d’entreprise. L’utilisateur est alors informé de la raison de l’effacement et les étapes de remédiation.

• [Android/iOS] Il est maintenant possible de forcer l’utilisation d’une liste de fabricants Android ou de modèles iOS pour les stratégies de protection des applications mobiles. L’administrateur fournit alors les fabricants Android et modèles iOS sous forme de liste séparé par des virgules. L’utilisateur ne pourra alors accéder à l’application si les prérequis ne sont pas conformes. Notez que sur Android, vous devez installer la dernière version du portail d’entreprise. Il est possible de réaliser deux types d’actions :
  • Bloquer l’accès à des périphériques qui ne sont pas spécifiés
  • Effacer les données d’entreprise sur des périphériques qui ne sont pas conformes à la liste.

• [Windows 10] Vous pouvez maintenant laisser l’utilisateur contrôler les installations d’application. Si cette option est activée, les installations qui pourraient être stoppées en raison d'une violation de la sécurité peuvent être autorisées à continuer. Vous pouvez demander à l'installateur Windows d'utiliser des permissions élevées lorsqu'il installe n'importe quel programme sur un système. En outre, vous pouvez activer l'indexation des éléments Windows Information Protection (WIP) et les métadonnées les concernant stockées dans un emplacement non chiffré. Lorsque la stratégie est désactivée, les éléments protégés par WIP ne sont pas indexés et n'apparaissent pas dans les résultats de Cortana ou dans l'explorateur de fichiers. 
• [iOS] Vous pouvez récupérer une licence d'application iOS VPP attribuée à un utilisateur ou un périphérique. La désinstallation d'une application iOS VPP vous permettra également de récupérer la licence de l'application. Avant de désinstaller l'application, l'utilisateur ou le périphérique doit être retiré du groupe auquel l'application est destinée. Supprimer l'utilisateur ou le périphérique du groupe évite une réinstallation de l'application. Une fois ces étapes terminées, vous pouvez choisir d'attribuer la licence de l'application à un autre utilisateur ou périphérique.
• [iOS] Vous pouvez maintenant révoquer toutes les licences pour une application iOS choisie que vous avez acheté au travers du programme Volume Purchase Programm (VPP). Vous pouvez notifier les utilisateurs quand l’applications licenciée ne leur est plus assignée. La révocation de la licence ne désinstalle pas l’application, vous devez utiliser l’action d’assignation Uninstall. La licence récupérée est alors inventoriée dans le comptage via le nœud Licensed Apps.

Plus d’informations sur : https://docs.microsoft.com/en-us/intune/whats-new

Avec un peu de retard (dû à mes vacances), Microsoft a mis à disposition la Technical Preview 1806.2 (5.0. 8685.1000) de System Center Configuration Manager. Pour rappel, ConfigMgr a subi une refonte de sa structure pour permettre des mises à jour aisées de la même façon que l’on peut le voir avec Windows 10. Si vous souhaitez installer cette Technical Preview, vous devez installer la Technical Preview 1804 puis utiliser la fonctionnalité Updates and Servicing (nom de code Easy Setup). 

System Center Configuration Manager TP 1806.2 comprend les nouveautés suivantes :

Administration

• Lorsque vous utilisez l’installation poussée des clients (client push) pour installer le client Configuration Manager, le serveur du site crée une connexion à distance avec le client pour démarrer l'installation. A partir de cette version, le site peut exiger l'authentification mutuelle de Kerberos en ne permettant pas de revenir à NTLM avant d'établir la connexion. Cette amélioration permet de sécuriser la communication entre le serveur et le client.

• La fonctionnalité Management Insights permet d’obtenir des informations sur l’état de l’environnement en fonction des données de la base de données. Cette version ajoute les règles suivantes :
  • Les objets de configuration inutilisés : Les objets de configuration qui ne font pas partie d'une ligne de base de configuration et qui datent de plus de 30 jours.
  • Les images de démarrage (boot images) inutilisées : Images de démarrage non référencées pour le démarrage PXE ou l'utilisation d'une séquence de tâches.
  • Les groupes de limites sans système de site assigné : Sans systèmes de site affectés, les groupes de limites ne peuvent être utilisés que pour l'affectation de site.
  • Les groupes de limites sans membres : Les groupes limites ne sont pas applicables pour l'assignation de site ou la recherche de contenu s'ils n'ont pas de membres.
  • Les points de distribution ne servant pas de contenu aux clients : Les points de distribution qui n'ont pas servi de contenu aux clients au cours des 30 derniers jours. Ces données sont basées sur les rapports des clients sur l'historique de leurs téléchargements.
  • Les mises à jour expirées trouvées : Les mises à jour expirées ne s'appliquent pas au déploiement.
• Co-Management :
  • Gérez les applications mobiles/modernes avec Microsoft Intune tout en continuant à utiliser Configuration Manager pour déployer les applications Win32. Pour transférer la charge de travail des applications modernes, allez à la page des propriétés du Co-Management. Déplacez la barre de défilement de Configuration Manager vers Pilote ou All. Après la transition de cette charge de travail, toutes les applications disponibles déployées à partir d'Intune sont disponibles dans le portail de l'entreprise. Les applications que vous déployez à partir du Configuration Manager sont disponibles dans le Software Center.
• Cloud Management :
  • Support d’Azure US Government Cloud pour l’utilisation d’Azure Active Directory, le déploiement d’une Cloud Management Gateway ou d’un Cloud Distribution Point avec Azure Resource Manager.
  • Les entreprises qui utilisent Windows AutoPilot pour provisionner Windows 10 sur les périphériques joints à Azure Active Directory qui sont connectés au réseau de l’entreprise (On-Premises). Pour installer ou mettre à niveau le client Configuration Manager sur ces périphériques, vous n'avez plus besoin d'un Cloud Distribution Point ou d'un point de distribution On-Prem configuré pour permettre aux clients de se connecter anonymement. Activez plutôt l'option du site pour utiliser les certificats générés par Configuration Manager pour les systèmes de site HTTP, ce qui permet à un client joint à un domaine cloud de communiquer avec un point de distribution HTTP On-Prem.
• Les groupes de limites incluent maintenant des paramètres additionnels permettant de mieux contrôler la distribution du contenu dans l’environnement :
  • Allow peer downloads in this boundary group est activé par défaut. Le Management Point fournit alors au client la liste des emplacements de contenu incluant la liste des sources client Peer Cache. La désactivation de cette fonctionnalité peut être utile pour les clients VPN ou pour les groupes de limites importants qui ne référencent pas de points de distribution.
  • During peer downloads, only use peers within the same subnet est dépendant du paramètrage ci-dessus. Dans ce cas, le Management Point n’inclut seulement dans la liste des emplacements de contenu, les sources client Peer Cache qui sont sur le même sous-réseau. Ceci peut être significatif pour la création d’un groupe de limites très large qui englobe de plus petits groups de limites ou lorsque vous avez un seul grand groupe de limites pour tous les sites distants.

Inventaire et Reporting

• La consultation des rapports de conformité aux mises à jour logicielles inclut traditionnellement les données des clients qui n'ont pas récemment contacté le site. Un nouveau rapport vous permet de filtrer les résultats de conformité pour un groupe de mise à jour logicielle spécifique par clients "sains". Ce rapport montre l'état de conformité plus réaliste des clients actifs dans votre environnement. Pour afficher le rapport, accédez à Monitoring – Reporting et exécutez Compliance 9 - Overall health and compliance. Ce rapport affiche le nombre total de clients sains vs le total des clients, l’aperçu de la conformité et le TOP5 des mises à jour avec le plus de clients non conformes.

Déploiement d’applications

• Il est maintenant possible de créer des déploiements par phases (Phased Deployments) pour les applications. Ceci permet d’orchestrer, de coordonner et de séquencer le déploiement d’une application. Vous pouvez naviguer dans Software Library – Application Management, Applications, sélectionnez l’application et choisissez Create Phased Deployment.
• Configuration Manager supporte maintenant le déploiement d’applications avec les nouveaux packages d’application Windows 10 (MSIX) et des bundles d’application (msixbundle). La dernière version Insider (17682) de Windows 10 supporte ces nouveaux formats.

Déploiement de système d’exploitation

• Le déploiement par phases (Phased Deployments) a maintenant une expérience de supervision native. A partir de l’espace Monitoring – Deployments, vous pouvez sélectionner Phased Deployment Status. Ce tableau de bord comprend des informations telles que le nombre total de périphérique ciblé dans la phase, l’état de la phase (déploiement créé, en attente, suspendue), l’état de progression du déploiement (success, In progress, Error, Requirements Not Met, Unknown).

• Au cours d'un déploiement par phases, le déploiement dans chaque phase peut maintenant se faire graduellement. Ce comportement permet d'atténuer le risque de problèmes de déploiement et de diminuer la charge sur le réseau causée par la distribution de contenu aux clients. Le site peut progressivement rendre le logiciel disponible en fonction de la configuration de chaque phase. Chaque client dans une phase a une date limite relative au moment où le logiciel est mis à disposition. La fenêtre temporelle entre le temps disponible et la date butoir est la même pour tous les clients d'une phase.
  Lorsque vous créez un déploiement par phase et configurez manuellement une phase, sur la page Phase Settings de l'Assistant Add Phase ou sur la page Settings de l'Assistant Create Phased Deployment, configurez l'option : Gradually make this software available over this period of time (in days). La valeur par défaut de ce paramètre est 0, donc par défaut, le déploiement n'est pas limité. Cette option n’est pour l’instant applicable que pour les séquences de tâches.

Gestion des mises à jour logicielles

• Amélioration du support des mises à jour tierces via les retours UserVoice. Microsoft pousse un peu plus le scénario en permettant l’enregistrement de catalogues partenaires. Ceci se fait via Software Library – Software Updates – Third Party Software Update Catalogs puis Add Custom Catalog.

Plus d’informations sur : https://docs.microsoft.com/en-us/sccm/core/get-started/capabilities-in-technical-preview-1806-2

System Center Configuration Manager 1706 est sorti il y a un peu moins d’un an et cette version atteint sa fin de support pour le mardi 31 juillet 2018. Passé cette date, Microsoft ne fournira plus de correctifs de sécurité. Vous devez donc passer vers la dernière version en date. Cette version est la dernière à afficher un support de 12 mois. En effet à partir de la version 1710, les versions seront pour 18 mois.

Plus d’informations sur : https://docs.microsoft.com/en-us/sccm/core/servers/manage/updates#bkmk_Baselines

Microsoft a publié un correctif hors cycle pour System Center Configuration Manager 1802 concernant un problème touchant le Software Center. Le problème survient si vous devez installer un programme en libre-service, ciblé sur des utilisateurs ou une collection de groupes d’utilisateurs.
Dans ce scénario après le démarrage de l’installation, le Software Center (SCClient.exe) s’arrête inopinément et vous pouvez voir l’événement 1026 dans le journal d’événements :

Application: SCClient.exe
Description: The process was terminated due to an unhandled exception
Exception Info: System.NullReferenceException

Pour ce faire, Microsoft a publié le correctif 4345216 à installer séparément. Il est recommandé de n’appliquer le correctif uniquement si vous observez le problème. Notez que l’installation de ce correctif, nécessite l’application de la mise à jour 4163547.

Plus d’informations sur la KB4345216 Software Center terminates unexpectedly in Configuration Manager current branch, version 1802

Microsoft va proposer un événement de questions/réponses sur Azure Backup. Cet évènement aura lieu le mardi 10 juillet de 16h30 à 19h30 (heure française). Ask Microsoft Anything est une belle opportunité pour poser des questions sur Azure Backup avec une réponse directe.

Vous pouvez poster vos questions via Twitter en utilisant le #AzureBackupAMA et en envoyant un message direct à @AzureBackup ou @AzureSupport.

Source : https://azure.microsoft.com/en-us/blog/azure-backup-twitter-ama/

Windows Server vient d’atteindre l’âge de 25 ans et Microsoft a proposé pour l’occasion un événement en ligne à destination des professionnels de l’informatique : le Windows Server Summit. Les enregistrements des sessions de cet événement qui a eu lieu le mardi 26 juin, ont été mises à disposition.

On retrouve 4 tracks:

• Hybride : Il sera détaillé comment exécuter les charges de travail Windows Server de manière On-Prem et dans Azure, ainsi que comment les services Azure peuvent être utilisés pour gérer les charges de travail Windows Server s'exécutant dans le Cloud ou On-Prem.
• Sécurité : Présentation des nouvelles fonctions de sécurité améliorées.
• Plateforme d'application : Les conteneurs changent la façon dont les développeurs et les équipes d'exploitation exécutent les applications aujourd'hui. Dans cette track, Microsoft détaillera ce qu’il y a de nouveau dans Windows Server pour permettre la modernisation des applications fonctionnant on-Prem ou sur Azure.
• Infrastructure hyperconvergée : Windows Server 2019 apporte de nouvelles capacités étonnantes en s'appuyant sur Windows Server 2016.

Revivre les sessions !

Voici le récapitulatif des annonces faites par Microsoft concernant sa plateforme Microsoft Azure.

Parmi les annonces, on retrouve notamment :

General

• SAP Cloud Platform est passé en disponibilité générale il y a peu et est maintenant disponible dans la région West Europe.
• Rappel du retrait d’Access Control Service pour dans 4 mois.

Azure Storage

• Public Preview de l’hébergement statique de site web dans Azure Storage. Sur un site Web statique, les pages Web contiennent du contenu statique et du JavaScript ou d'autres codes côté client. L'ensemble de fonctionnalités est disponible dans toutes les régions.

Azure Network

• Public Preview des VNET Services Endpoints pour Azure Key Vault afin de vous permettre d'isoler la connectivité à votre serveur logique à partir d'un sous-réseau ou d'un ensemble de sous-réseaux donné dans votre réseau virtuel. Le trafic vers Azure Key Vault de votre VNet restera toujours dans le réseau Azure.
• Disponibilité Générale du service de moniteur de connectivité de Network Performance Monitor. Service Connectivity Monitor s’intègre la supervision et la visualisation des performances de vos applications internes ou hébergées dans le cloud à la performance réseau de bout en bout. Vous pouvez créer des tests basés sur HTTP, HTTPS, TCP et ICMP à partir des points clés de votre réseau jusqu'à vos applications, ce qui vous permet d'identifier rapidement si le problème est dû au réseau ou à l'application. Grâce à la carte de topologie du réseau, vous pouvez localiser les liens et les interfaces présentant des pertes et des latences élevées, ce qui vous aide à identifier les segments de réseau externes et internes problématiques. On retrouve des tests embarqués pour Office 365 et Dynamics 365.
• Network Performance Monitor est en disponibilité générale sur la région UK South. Cette solution permet de superviser les réseaux à travers Azure et les réseaux hybrides afin d’identifier facilemvent les segments qui posent problème.
• Public Preview de nouvelles passerelles VPN et ExpressRoute redondantes par zones. Ceci ajoute donc le support d’Azure Availability Zone. Vous pouvez maintenant déployer des passerelles VPN et ExpressRoute dans les zones de disponibilité Azure. Ceci les sépare physiquement et logiquement en différentes zones de disponibilité protégeant votre connectivité réseau sur site à Azure contre les défaillances au niveau de la zone.
• Azure DNS garantit maintenant que les requêtes DNS valides recevront à 100%, une réponse d'au moins un serveur de noms.
• Les métriques d’Azure Traffic Manager suivantes sont en disponibilité générale :
  • Queries by Endpoint Returned : Le nombre de requêtes traitées par Azure Traffic Manager pour un profil dans une période de temps spécifique.
  • Endpoint Status by Endpoint : L'état de santé d'un point de terminaison spécifié dans un profil.

Azure Stack

• Sauvegarde des applications sur Azure Stack avec le service Azure Backup. La solution permet de sauvegarde SQL Server, SharePoint, et Exchange. Il est possible de faire de la restauration au niveau de fichiers. Azure Backup fournit une rétention longue durée.

Operations Management Suite

• Supervision des pipelines Azure Data Factory en utilisant Operations Management Suite.
• Disponibilité d’Azure Web App Analytics et Azure Network Security Group Analytics permettant respectivement de faire de l’analyse d’applications web et de l’analyse des groupes de sécurité réseau avec le nombre de flux bloqués, etc.

Azure Data Factory

• Transférer les packages SQL Server Integration Service vers Azure avec Azure Data Factory.
• De nouvelles fonctionnalités sur Azure Data Factory :
  • Control Flow : Azure Data Factory inclut des constructions de pipeline de données de contrôle de flux de données telles que le branchement, le bouclage, l'exécution conditionnelle et le paramétrage afin de vous permettre d'orchestrer des tâches complexes d'intégration de données.
  • Mouvement de données sans code et conception d'orchestration : Azure Data Factory permet la conception, la gestion, le maintien et la surveillance de vos pipelines directement dans votre navigateur.
  • Développement d'un pipeline itératif : L'environnement de conception ADF inclut également la possibilité de développer de manière itérative des pipelines et de déboguer les pipelines de manière interactive avec un débogage itératif intégré.
  • Planification flexible : Planifier des pipelines sur un planificateur, des déclencheurs basés sur des événements, ou avec des plannings de fenêtres en cascade.
  • Support des SDK pour Python,.NET, REST et PowerShell pour créer des applications personnalisées avec ADF.

Azure SQL

• Disponibilité du stockage jusqu’à 4 TB pour Azure Database for PostgreSQL.
• Disponibilité du stockage jusqu’à 4 TB pour Azure Database for MySQL.
• Disponibilité Générale des bases de données SQL redondantes par zone et des elastic pools. Le service supporte donc Azure Availability Zones dans son niveau de service Premium. En plaçant des réplicas de bases de données individuelles dans différentes zones de disponibilité, cela rend les bases de données Premium résistantes à un ensemble beaucoup plus large de défaillances, y compris des pannes de Datacenter. La prise en charge intégrée des zones de disponibilité améliore encore davantage les solutions de haute disponibilité (HA) dans Azure SQL Database.
• Public Preview d’Azure Elastic Database Jobs. Ce service est maintenant entièrement hébergé par Azure. Contrairement à la version précédente, hébergée et gérée par l’entreprise, cette version fait partie intégrante d'Azure, sans services ou composants supplémentaires à installer et à configurer. Cette version ajoute également des fonctionnalités importantes permettant aux clients d'automatiser et d'exécuter facilement des tâches T-SQL à l'aide des API PowerShell, REST ou T-SQL par rapport à un groupe de bases de données.

Azure HDInsight

• Mise à jour d’Apache Hadoop, Apache Spark 2.3, Apache Kafka 1.0 et la correction de plus de 2000 correctifs à travers plus de 20 frameworks Open Source.
• Disponibilité Générale de Machine Learning (ML) Services 9.3 sur Azure HDInsights.
• Preview d’Azure Data Lake Storage Gen2, un système de fichiers HDFS disponible globalement pour stocker et analyser des fichiers de taille allant jusqu’au petabyte et des milliards d’objets.
• Support des VNET Services Endpoints pour HDInsight afin de vous permettre d'isoler la connectivité à votre serveur logique à partir d'un sous-réseau ou d'un ensemble de sous-réseaux donné dans votre réseau virtuel. Le trafic vers Azure HDInsight de votre VNet restera toujours dans le réseau Azure.

Azure Event Hubs & Service Bus

• Public Preview des VNET Services Endpoints pour Azure Event Hubs et Azure Service Bus afin de vous permettre d'isoler la connectivité à votre serveur logique à partir d'un sous-réseau ou d'un ensemble de sous-réseaux donné dans votre réseau virtuel. Le trafic vers Azure Event Hubs et Azure Service Bus de votre VNet restera toujours dans le réseau Azure.
• Filtrage IP pour Azure Event Hubs et Azure Service Bus. Ceci permet de brider le trafic à partir de sites bien identifiés. Les règles permettent de spécifier les actions d’acceptation et de rejet sur un masque IP. Les règles fonctionnent avec des adresses IP v4. Les règles peuvent être appliqués au niveau du namespace.

Azure IoT

• Des nouveautés sur Azure IoT Central :
  • La mesure d'état permet aux appareils de signaler l'état actuel de l'ensemble de l'appareil ou de ses composants. Par exemple, un climatiseur connecté peut avoir deux états (arrêté et en fonctionnement), et un utilisateur peut voir tous les appareils connectés et leur état actuel.
  • On retrouve des modèles de supervision d’événements sur les périphériques.
  • Import et export en masse de périphérique.
  • Azure IoT Central utilise maintenant Azure Maps pour permettre d’utiliser des services géospatial selon vos besoins.
  • Il n’est plus nécessaire d’avoir un abonnement Azure pour essayer IoT Central.
• Disponibilité Générale d’Azure IoT Edge.
• Disponibilité Générale de la gestion automatique des périphériques et des configurations automatiques des périphériques sur Azure IoT Hub.

Azure Search

• Disponibilité Générale des synonymes pour Azure Search. Ces derniers permettent à Azure Search d'associer des termes équivalents qui étendent implicitement la portée d'une requête, sans que l'utilisateur n'ait à fournir les termes alternatifs.
• Public Preview d’Autocomplete dans Azure Search. AutoComplete peut améliorer l'expérience de recherche en trouvant dans l'index des termes potentiels qui correspondent au terme partiel écrit par l'utilisateur.

Azure Cognitive Services

• Identification de la langue parlée via Video Indexer. LID est basé sur du Deep Learning appliqué à l'audio. LID supporte actuellement neuf langues dont l'anglais, le chinois, le français, l'allemand, l'italien, l'italien, le japonais, l'espagnol, le russe et le portugais. Il fonctionne avec une grande précision pour des enregistrements de haute à moyenne qualité.

CosmosDB

• Public Preview d’Azure Cosmos DB Explorer, une version web autonome de Data Explorer. L’outil vous permet de faire vos requêtes et d’obtenir les résultats en plein écran, d’accéder à vos comptes de base de données et chaines de connexion, partager le résultat de requêtes avec des utilisateurs qui n’ont pas accès au portail Azure.

J’ai le plaisir de vous annoncer que Microsoft m’a renouvelé Microsoft MVP (Most Valuable Professional) pour l’année 2018/2019 dans l’Award Enterprise Mobility avec une spécialisation sur System Center Configuration Manager (SCCM) / ConfigMgr et Microsoft Intune et la partie OSD. Microsoft continue son investissement fort à la fois sur Microsoft Intune, System Center Configuration Manager et plus généralement Enterprise Mobility + Security ainsi que son offre global Microsoft 365.

Je me permets de citer la lettre de Microsoft pour vous rappeler les grands principes des lauréats MVP :

« Il y a vingt ans, Microsoft saluait la contribution de 34 leaders de communautés qui en avaient aidé d'autres à tirer le meilleur parti de leurs technologies, en lançant le prix Microsoft MVP (Most Valuable Professional). À l'heure actuelle, plus de 4 000 MVP aident des dizaines de milliers de clients Microsoft à en savoir un peu plus chaque jour sur les technologies Microsoft dans plus de 90 pays.

 Le prix Microsoft MVP reconnait et remercie les membres exceptionnels des communautés techniques pour leur participation aux communautés et leur volonté d'aider les autres. Le programme MVP est avant tout constitué de passionnés de l'innovation qui sont à l'origine de son développement dynamique. »

C’est donc pour une sixième année que Microsoft renouvelle sa confiance afin de récompenser mes différentes activités au sein des communautés et ce afin de partager toujours plus et d’aider les différents utilisateurs.

Jean-Sébastien Duchêne

Saaswedo a mis à jour son service de gestion des dépenses télécom (TEM) Datalert. Pour rappel, ce service de Telecom Expenses Management s’intègre à Microsoft Intune. Cette mise à jour v1.8.1 propose les améliorations suivantes :

• Utilisation des profils MDM. A de nombreux niveaux dans le portail Datalert, il est possible maintenant d'appliquer dans une policy ou manuellement un profil MDM à des appareils. Chaque configuration de profil MDM parametrée dans la console MDM peut être récupérée sur Datalert et appliquée sur les lignes en fonction de la télécom policy (atteinte de seuils de consommation). il faut indiquer #datalert dans la description du groupe pour qu'il soit rapatrié lors de la synchronisation
• Nouvel écran de paramétrage de la liaison Intune/Datalert

Plus d’informations sur le site de Saaswedo.

Alors que Microsoft vient de publier la version 1.29.5.0 du client et du scanneur, c’est la version 1.27.48.0 du client Azure Information Protection qui arrive sur Windows Update.

Parmi les changements sur le client, on retrouve :

• Pour Get-AIPFileStatus, le résultat inclut maintenant le gestionnaire de droit et l'émetteur de gestion des droits, ainsi que la date à laquelle le contenu a été protégé.

• Suppression de la page d'accueil "Congratulations!" et de la page "What's new in Azure Information Protection", qui s'affiche pour la première fois dans les applications Office.

Parmi les changements sur le scanneur, on retrouve :

• Vous pouvez spécifier une liste de types de fichiers à inclure ou à exclure de l'analyse. Pour spécifier cette liste, utilisez Set-AIPScannerScannerScannedFileTypes. Après avoir spécifié votre liste de types de fichiers, vous pouvez ajouter un nouveau type de fichier à la liste en utilisant Add-AIPScannerScannerScannedFileType, et supprimer un type de fichier de la liste en utilisant Remove-AIPScannerScannerScannerScannedFileType.
• Vous pouvez labeliser les fichiers sans inspecter le contenu en appliquant une étiquette par défaut. Utilisez le cmdlet Set-AIPScannerRepository, et réglez le paramètre MatchPolicy sur Off.
• Vous pouvez découvrir des fichiers contenant des types d'informations sensibles sans configurer les labels pour la classification automatique. Utilisez le cmdlet Set-AIPScannerConfiguration cmdlet, et définissez le paramètre DiscoverInformationTypes sur All
• Par défaut, seuls les types de documents Office sont protégés. D'autres types de fichiers peuvent être protégés lorsque vous les définissez dans le registre.
• Par défaut, le scanner fonctionne maintenant avec un faible niveau d'intégrité pour une plus grande sécurité au cas où vous exécutez le scanner avec un compte ayant des droits privilégiés. Lorsque le compte de service qui exécute le scanner ne possède que les droits documentés dans les prérequis du scanner, le faible niveau d'intégrité n'est pas nécessaire et n'est pas recommandé parce qu'il affecte négativement les performances. Vous pouvez utiliser un paramètre client avancé pour désactiver le faible niveau d'intégrité.
• Le paramètre ScanMode de Set-AIPScannerConfiguration est renommé Enforce, avec les valeurs Off et On.
• Pour utiliser un label par défaut, vous n'avez plus besoin de configurer un label par défaut comme paramètre de stratégie. Au lieu de cela, spécifiez simplement ce label par défaut avec la configuration du référentiel.

Télécharger Microsoft Azure Information Protection

Microsoft vient de publier la version 1.29.5.0 du client Azure Information Protection.

Elle corrige les éléments suivants :

• Pour les versions d'Outlook 16.0.9324.1000 et plus récentes (Click-to-Run), la barre Azure Information Protection prend en charge les dernières options d'affichage du moniteur qui, auparavant, pouvaient entraîner l'affichage de la barre à l'extérieur de l'application Outlook.
• Les marques visuelles que vous configurez par type d'application Office remplacent maintenant un en-tête ou un pied de page précédemment appliqué.
• Lorsqu'un fichier Excel est déjà labelisé et que le label applique des marquages visuels, une nouvelle feuille est maintenant dotée des marquages visuels du label.
• Lorsque vous utilisez le paramètre client avancé pour labeliser un document Office en utilisant une propriété personnalisée existante, la labélisation automatique ne remplace pas la labélisation manuelle.

Télécharger Microsoft Azure Information Protection

Microsoft vient de publier un nouveau Management Pack à destination des systèmes d’exploitation Windows Server 2016 et Windows Server 1709 ou plus en version 10.0.21.0. Pour rappel, System Center Operations Manager (SCOM) fait partie de la gamme System Center, il propose une supervision souple et évolutive de l’exploitation au niveau de toute l’entreprise, réduisant la complexité liée à l’administration d’un environnement informatique, et diminuant ainsi le coût d’exploitation. Ce logiciel permet une gestion complète des événements, des contrôles proactifs et des alertes, et assure une gestion des services de bout en bout. Il établit des analyses de tendance et des rapports, et contient une base de connaissances sur les applications et le système.

Cette version corrige différents problèmes qui permettent de passer le Management Pack en version finale.

Ce Management Pack supporte les systèmes d’exploitation suivants :

• Windows Server 2016.
• Windows Server Nano
• Windows Server 1709

Il peut être utilisé sur System Center Operations Manager 2012, 2012 R2, 2016 et 1801. Le support de Nano est uniquement réalisable avec SCOM 2016.

Télécharger Microsoft System Center Management Pack for Windows Server Operating System 2016 and 1709 Plus

Brad Anderson (Corporate Vice President, Enterprise Client & Mobility) a publié une nouvelle vidéo pour parler de l’accès conditionnel avec Microsoft Intune couplé avec Windows Defender Advanced Threat Protection.

https://youtu.be/f-ILlEuBFZg

Microsoft va proposer un événement de questions/réponses. Cet évènement aura lieu entre le 26 et 27 juin. Ask Microsoft Anything est une belle opportunité pour poser des questions sur Windows 10 et son programme Windows Insider avec une réponse directe.

Cet événement permet de couvrir les sujets :

• S'assurer que vos commentaires sont entendus par ceux qui construisent Windows 10.
• Participer au programme Windows Insider en tant qu'individu ou en tant qu'organisation.
• Suivre les mises à jour semestrielles grâce à Windows as a Service.
• L'utilisation d'Insider Preview permet de réduire l'effort de validation global lié aux déploiements à grande échelle.
• Choisir les bons utilisateurs et les bons périphériques pour la validation.
• Surveiller la validation de la prévisualisation par Insider dans le cadre de votre cycle de déploiement global par le biais de Windows Analytics.

Vous devez être membre de Tech Community pour poster vos questions via l’adresse : https://techcommunity.microsoft.com/t5/Windows-10-AMA/bd-p/Windows10AMA

Pour s’inscrire : https://aka.ms/deployW10-ama.

Source : https://techcommunity.microsoft.com/t5/Windows-10-AMA/Announcing-a-Windows-Insider-Program-AMA-June-26-27/m-p/203501#M176

C’était la dernière version Windows qui entrait dans l’ancien modèle de mise à jour, Windows Server 2008 SP2 va être aligné à Windows 7, Windows Server 2008 R2, 2012, 2012 R2 etc. Jusqu’à maintenant, Microsoft publiait chaque mois un ensemble de correctifs séparés corrigeant des vulnérabilités et des problèmes. Les entreprises sélectionnaient souvent les mises à jour critiques et de sécurité. Ceci engendrait une fragmentation des configurations causant plusieurs effets de bord :

• Des problèmes d’analyse et des erreurs de dépendances ainsi qu’une qualité de mise à jour plus faible
• Des complexités pour tester ces mises à jour
• Un temps d’inventaire augmenté
• L’identification du bon patch à appliquer pouvait devenir problématique
• Des problématiques liées au déploiement de système d’exploitation qui ont pu apparaître avec le nombre croissant de mises à jour à appliquer.

A partir de Septembre 2018, Microsoft va changer le modèle proposé les mises à jour mensuelles sous la forme de Rollup cumulatif. Il permettra d’adresser à la fois des problèmes de sécurité et de fiabilité dans une seule mise à jour. Il sera publié au travers de l’ensemble des canaux : Microsoft Updates, WSUS, SCCM, etc. Chaque Rollup remplacera le Rollup du mois précédent permettant à une machine de n’installer qu’une seule mise à jour pour être conforme. Microsoft publiera aussi la Preview du rollup mensuel suivant. Le premier est planifié pour août 2018.

Comme pour les autres systèmes, on retrouve aussi une mise à jour de sécurité uniquement comprenant l’ensemble des mises à jour de sécurité du mois uniquement (pas de mises à jour de fiabilité). Ce Rollup ne sera lui pas cumulatif et les entreprises devront déployer les Rollups de chaque mois via WSUS, SCCM ou le catalogue Microsoft Update (pas de publication sur Windows Update).

Ainsi les mises à jour de sécurité individuelles ne seront plus disponibles.

Du côté, d’Internet Explorer 9 et du .NET Framework, on retrouve aussi des rollups mensuels qui corrigent les problèmes de sécurité.

Source : https://cloudblogs.microsoft.com/windowsserver/2018/06/12/windows-server-2008-sp2-servicing-changes/

Microsoft a annoncé un changement via un message dans le Message Center (MC140765) pour les clients Office 365 à partir du 1^er Juillet. A cette date, Microsoft activera les fonctionnalités de protection dans Azure Information Protection pour les entreprises qui ont les licences Office 365 éligibles. Si vous avez obtenu ce message dans le Message Center, c’est que vous êtes éligibles.

Si vous utilisez Active Directory Rights Management Services, vous devez immédiatement demander à sortir de ce changement. Sinon, certains ordinateurs peuvent automatiquement commencer à utiliser le service Azure Rights Management et se connecter à votre cluster AD RMS. Ce scénario n'est pas pris en charge.

Ceux qui ont déjà croisé Brad Anderson (Corporate Vice President, Enterprise Mobility + Security) savent à quel point, il est fier de l’évolution de Microsoft Intune. Microsoft Intune (anciennement System Center Online Desktop Manager) était positionné comme une version de System Center Configuration Manager dans le Cloud. L’architecture proposait un modèle client/serveur avec un agent installé sur les ordinateurs Windows 7, etc. Par la suite, Microsoft revoit sa copie pour intégrer une gestion de périphériques mobiles (MDM) afin de couvrir ces périphériques en mobilité. Ils intègrent donc ces fonctionnalités dans l’architecture existante qui n’avaient clairement pas été pensé comme un service Cloud ou simplement pour répondre aux exigences de ce cas d’usage.

Microsoft a toujours étroitement lié Microsoft Intune avec Office 365. La montée en puissance d’Office 365 et les nouvelles menaces extérieures, demande à fournir des mécanismes de sécurisation de la solution. L’accès conditionnel et la gestion des applications mobiles, font leur apparition. L’intégration avec l’ensemble des services Cloud (Office 365, Azure Active Directory, etc.) est étroite. Les entreprises font donc appel à Microsoft Intune pour sécuriser l’accès ; demandant à Microsoft de revoir les limites du service.

L’architecture anciennement pensée, ne pouvant pas répondre aux besoins futurs, Microsoft décide de reprendre l’architecture à partir d’une page blanche.

Aujourd’hui, Brad Anderson nous propose un article complet sur la transformation opérée et le modèle qui a été adopté. On retrouve des détails importants sur le fonctionnement de l’architecture. Ceci vous démontrera à quel point Microsoft Intune est devenu un service fiable et robuste, qui évolue fréquemment. Il revient aussi sur les problèmes qu’a rencontré Microsoft et comment ils les ont adressés.

Je vous invite à lire : How We Built (Rebuilt!) Intune into a Leading Globally Scaled Cloud Service

Microsoft a fait état d’un article concernant des tickets ouverts à propos du déploiement d’Office Click-to-Run (C2R) via Microsoft Intune. Il semble les clients aient rapporté l’erreur suivante bien qu’une version Office Click-to-Run ne soit pas présente sur le poste :

Office couldn’t install because the version of Office that’s already installed on the device is either MSI or a different architecture. Make sure you’ve removed any MSI versions of Office and that any existing C2R versions have the same architecture as what you’re installing (32-bit or 64-bit).

Ce problème est intermittent et survient lorsque l’écran donnant l’état d’enregistrement via Windows AutoPilot est activé. L’administrateur observe les erreurs suivantes dans la console Microsoft Intune : 17004 ou 0x643.

Microsoft vient de communiquer qu’un changement a déjà été déployé et qu’un second est attendu d’ici la fin de la semaine afin d’adresser ce problème.

Source : https://blogs.technet.microsoft.com/intunesupport/2018/06/19/support-tip-error-with-intune-and-office-click-to-run/