En passant chez plusieurs clients, je me suis rendu compte que l’installation des langues supplémentaires pouvait parfois être incomplète. Le but de cet article est de traiter une méthode parmi de nombreuses possibles, permettant de déployer correctement des langues supplémentaires sur Windows 10 durant le déploiement de système d’exploitation (OSD) via System Center Configuration Manager.

Ceux qui connaissent un peu les méthodes récurrentes sur Internet, savent que System Center Configuration Manager ne comprend pas de tâche par défaut permettant le chargement en ligne ou hors ligne de packs de langue. Il faut souvent étendre le produit avec Microsoft Deployment Toolkit (MDT). Ceux qui me connaissent, savent que je suis relativement réticent à l’intégration de MDT à ConfigMgr et ce pour éviter toutes dépendances. Le but est de ne pas trainer une version qui viendrait freiner le rythme des mises à jour de Configuration Manager.

Bien souvent, les administrateurs chargent le pack de langues mais oublie toutes les fonctionnalités de langues supplémentaires qui peuvent être essentielles à l’expérience utilisateur (Cortana, reconnaissance du texte, etc.) de Windows 10. On retrouve notamment les éléments suivants :

• Microsoft-Windows-Client-Language-Pack_<Architecture>_-<Langue>.cab est typé par langue et architecture et correspond au texte de l’interface graphique.
• Microsoft-Windows-LanguageFeatures-Basic-<Langue>-Package.cab est typé par langue uniquement pour permettre la vérification de l'orthographe, la prédiction du texte, etc.
• Microsoft-Windows-LanguageFeatures-Handwriting-<Langue>-Package.cab est typé par langue pour permettre la reconnaissance de l'écriture manuscrite saisie par stylet.
• Microsoft-Windows-LanguageFeatures-Speech-<Langue>-Package.cab est typé par langue pour reconnaître les entrées vocales utilisées par Cortana et Windows Speech Recognition.
• Microsoft-Windows-LanguageFeatures-TextToSpeech-<Langue>-Package.cab est typé par langue pour permettre la synthèse de voix notamment utilisée par Cortana et le narrateur.
• Microsoft-Windows-LanguageFeatures-OCR-<Langue>-Package.cab est typé par langue pour permettre la reconnaissance et l’édition de texte dans une image.

Pour récupérer ces packages, on retrouve deux ISOs de fonctionnalités à la demande pour Windows 10 (Features on Demand) :

• Le pack de langue (premier dans la liste) est présent dans l’ISO Windows 10 Features on Demand Part 1.
• Les autres packages sont présents dans l’ISO Windows 10 Features on Demand Part 2.

Il est à noter qu’il est nécessaire de récupérer les nouvelles versions de ces packages pour chaque nouvelle version de Windows 10 (1709, 1803, etc.).

Passons à l’intégration à votre séquence de tâches, commencez par créer un dossier dans les sources de contenu que vous pouvez par exemple appeler : OSD Language Pack Windows 10 1709 fr-fr. Copiez l’ensemble des fichiers CAB à l’intérieur :

Procédez ensuite à la création d’un package sans programme dans System Center Configuration Manager pointant sur ces sources avec un nom similaire (par exemple : OSD Language Pack Windows 10 1709 fr-fr).

Une fois le package créé et distribué sur vos points de distribution, ouvrez votre séquence de tâches. Les packages doivent être chargés avant le démarrage du système d’exploitation. Je vous recommande de créer un groupe appelé Install Language Packs entre l’application de vos Drivers et le groupe Setup Operating System qui doit normalement enchainer sur l’étape Setup Windows and Configuration Manager.
Dans ce groupe, vous pouvez ajouter des étapes Run Command Line avec les lignes de commandes suivantes :

DISM /Image:C:\ /add-Package /PackagePath:Microsoft-Windows-Client-Language-Pack_<Architecture>_-<Langue>.cab
DISM /Image:C:\ /add-Package /PackagePath:Microsoft-Windows-LanguageFeatures-Basic-<Langue>-Package.cab
DISM /Image:C:\ /add-Package /PackagePath:Microsoft-Windows-LanguageFeatures-Handwriting-<Langue>-Package.cab
DISM /Image:C:\ /add-Package /PackagePath:Microsoft-Windows-LanguageFeatures-Speech-<Langue>-Package.cab
DISM /Image:C:\ /add-Package /PackagePath:Microsoft-Windows-LanguageFeatures-TextToSpeech-<Langue>-Package.cab
DISM /Image:C:\ /add-Package /PackagePath:Microsoft-Windows-LanguageFeatures-OCR-<Langue>-Package.cab

Associez le package que vous avez précédemment créé et spécifiez un timeout.

Note : Vous pouvez remplacer C:\ par la variable (par exemple : %OSDisk%) que vous avez éventuellement spécifiée dans la tâche Apply Operating System pour stocker la partition sur laquelle le système d’exploitation a été appliqué. En outre, vous pouvez utiliser les cmdlets PowerShell à condition d’avoir ajouté les composants associés à votre image Windows PE. En effet, par défaut les images de démarrage n’incluent pas les composants : WinPE-DismCmdlets.

Sur l’écran qui suit, j’ai volontairement décorrélé chaque ligne de commande mais je vous recommande l’utilisation d’un script bat ou PowerShell qui inclut l’ensemble des commandes afin d’optimiser votre environnement de séquences de tâches. Plus vous ajoutez des tâches, plus ce dernier grossit en mémoire.

Ensuite dans les sources du package que vous avez créez, procédez à la création du script bat (par exemple SwitchTextSpeechFR.bat) suivant permettant l’édition des clés de registre nécessaire à l’activation des fonctionnalités Speech. Là encore, vous pouvez utiliser PowerShell si vous le souhaitez. Remplacez la langue par la langue que vous chargez.

Reg Load HKU\DefaultTemp "C:\Users\DefaultNTUSER.DAT"
Reg Add "HKU\DefaultTemp\Software\Microsoft\Speech_OneCore\Settings\SpeechRecognizer" /v RecognizedLanguage /t REG_SZ /d fr-FR /F
Reg UNLoad HKU\DefaultTemp

Note : Vous pouvez ajouter un côté dynamique à ce script en renseignant un paramètre pour définir dynamiquement la langue. C’est très utile pour éviter plusieurs scripts qui effectuent la même chose lorsque vous devez gérer plusieurs langues comme nous le verrons par la suite dans l’article.

Ajoutez ensuite une étape Run Command Line juste après le ou les étapes de chargement des packages. Cette étape doit exécuter le script bat et associant le package qui le contient.

Une fois ceci fait, vous devez aussi spécifier la langue qui sera utilisée par défaut par le système d’exploitation. Deux solutions sont possibles :

• L’utilisateur le définit lui-même lorsqu’il a ouvert la session. Ceci n’est clairement pas adapté dans un contexte d’entreprise.
• La langue est définie directement dans le déploiement de système d’exploitation au moment du chargement.

La seconde solution est possible en chargeant un fichier de personnalisation Unattend.xml dans la tâche Apply Operating System. Vous pouvez spécifier la langue en dur ou alors utiliser des variables de séquences de tâches. C’est la solution que je recommande pour plus de flexibilité. Vous devez créer un fichier Unattend.xml comprenant les éléments suivants :

<?xml version="1.0" encoding="utf-8"?>

<unattend xmlns="urn:schemas-microsoft-com:unattend">

    <settings pass="specialize">

        <component name="Microsoft-Windows-International-Core" processorArchitecture="amd64" publicKeyToken="31bf3856ad364e35" language="neutral" versionScope="nonSxS" xmlns:wcm="http://schemas.microsoft.com/WMIConfig/2002/State" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">

            <InputLocale>%OSDInputLocale%</InputLocale>

             <SystemLocale>%OSDSystemLocale%</SystemLocale>

             <UILanguage>%OSDUILanguage%</UILanguage>

             <UILanguageFallback>%OSDUILanguageFallback%</UILanguageFallback>

             <UserLocale>%OSDUserLocale%</UserLocale>

        </component>

    </settings>

    <settings pass="oobeSystem">

        <component name="Microsoft-Windows-International-Core" processorArchitecture="amd64" publicKeyToken="31bf3856ad364e35" language="neutral" versionScope="nonSxS" xmlns:wcm="http://schemas.microsoft.com/WMIConfig/2002/State" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">

            <InputLocale>%OSDInputLocale%</InputLocale>

             <SystemLocale>%OSDSystemLocale%</SystemLocale>

             <UILanguage>%OSDUILanguage%</UILanguage>

             <UILanguageFallback>%OSDUILanguageFallback%</UILanguageFallback>

             <UserLocale>%OSDUserLocale%</UserLocale>

        </component>

    </settings>

</unattend>

Les variables suivantes sont définies :

• OSDInputLocale pour choisir la langue d'entrée et la méthode pour les périphériques d'entrée, tel le clavier.
• OSDSystemLocale spécifie la langue par défaut à utiliser pour les programmes non Unicode.
• OSDUILanguage attribue la langue de l’interface graphique.
• OSDUILanguageFallback spécifie la langue de l’interface graphique utilisée si celle spécifiée par défaut n’est pas présente. En général, on laisse la langue de l’image WIM que l’on applique par défaut (par exemple en-US).
• OSDUserLocale spécifie les paramètres par utilisateur utilisés pour formater les dates, heures, devises et nombres dans une installation Windows.

Note : Si vous ne souhaitez pas utiliser les variables, vous pouvez simplement les remplacer par le code de la langue (par exemple : fr-FR).

Vous pouvez sauvegarder le fichier dans le package que nous avons créé en tout début de ce billet.

Ouvrez ensuite la séquence de tâches et l’étape Apply Operating System. Cochez la case Use an unattended or Sysprep answer file for a custom installation. Spécifiez le package et le nom du fichier Unattend.xml :

Si vous devez gérer plusieurs langues et pour continuer dans la stratégie de cet article, vous pouvez créer des sous-groupes pour chaque langue dans le groupe Install Language Packs. Dans les options du groupe, vous pouvez ajouter une condition basée sur la variable de séquence de tâches %OSDUILanguage% et sa valeur (par exemple qui doit être égale à fr-FR).

Vous pouvez ensuite définir les variables citées plus haut de plusieurs façons :

• Manuellement sur chaque enregistrement machine en ouvrant les propriétés ou alors via l’assistant d’import d’un nouvel enregistrement machine pour de nouvelles machines.
• Sur les collections de déploiement en créant une collection de déploiement par langue. Vous pouvez les définir en ouvrant les propriétés de la collection.
• Dynamiquement par des solutions communautaires avec des assistants tels qu’

Bon déploiement !

Microsoft vient de mettre à jour (7.0.2.0) le pack d’administration ou Management Pack (MP) SCOM pour superviser SQL Server 2008, 2008 R2 et 2012. Il fonctionne avec SCOM 2012 SP1 ou plus. Cette nouvelle version apporte les éléments suivants :

• Correction d’un problème : Les scripts Data Source Always ON échoue puisque Microsoft.SqlServer.Management.PSSnapins.dll n’est pas importé
• Correction d’un problème : Les scripts de supervision Always ON peuvent échouer à cause d’une erreur : "No coercion operator is defined..." (engendré par un problème dans PowerShell 5.0).
• Correction d’un problème sur les tableaux de bord : La règle "DW data early aggregation" crash sur SCOM 2016.

Télécharger

• Microsoft System Center Management Pack for SQL Server
• Microsoft System Center Management Pack for SQL Server Dashboards

Le beta-testing de la certification sur la configuration et l’exploitation d’un cloud hybride avec Microsoft Azure Stack a débuté. L’examen Exam 70-537: Configuring and Operating a Hybrid Cloud with Microsoft Azure Stack est concerné. Pour rappel, les examens bêta ne sont plus gratuits pour éviter que les personnes s’inscrivent sans passer l’examen. Il faut participer à hauteur de 20%.

Vous pouvez alors utiliser gratuitement le code suivant : KDRBNP537DD.
Il doit être utilisé avant le 15 Mars 2018.

Attention, il n’y a que 300 places disponibles.

Source : https://borntolearn.mslearn.net/b/weblog/posts/take-beta-exam-70-537-configuring-and-operating-a-hybrid-cloud-with-microsoft-azure-stack-2

Chris Hallum (Windows Security Senior Product Manager – MSFT) va proposer un webcast et un événement de questions/réponses. Il aura lieu le mardi 6 février de 19h à 20h (heure française).

Le Webcast présentera notamment les améliorations de Windows 10 1709 avec un focus sur :

• Windows Defender Advanced Threat Protection,
• Windows Defender Device Guard,
• Windows Defender Application Guard,
• Windows Defender Exploit Guard,
• Windows Defender Application Control

Mais aussi la stack entière avec Office 365, Microsoft Azure et Windows Server.

S’inscrire au Webcast 

Un des nouveaux scénarios importants proposés par Windows 10 1709 (Fall Creators Update) est la capacité d’Auto Redéploiement d’une machine (Windows Automatic Redeployment). Les services informatiques peuvent utiliser cette fonctionnalité pour supprimer rapidement les fichiers personnels, les applications et les paramètres et réinitialiser les périphériques Windows 10 à tout moment. Elle permet surtout d’appliquer les paramètres d'origine et conserver l'enregistrement à Azure Active Directory et Microsoft Intune afin que les périphériques soient prêts à l'emploi. Cette opération peut se faire depuis l'écran de verrouillage ou à distance via Microsoft Intune. Elle peut aussi être exécuté avec un package de provisionnement (Windows Configuration Designer ou l’application Setup School PC).

Redéploiement automatique à distance avec Microsoft Intune

Pour initier un redéploiement automatique à distance via Microsoft Intune, connectez-vous au portail. Naviguez dans Devices – All devices et identifiez la machine que vous souhaitez réinitialiser. Cliquez dessus et sélectionnez Factory reset. Cochez la case Retrain enrollment state and user account et cliquez sur OK.

L’opération de réinitialisation démarre rapidement après la récupération des stratégies.

Redéploiement automatique par l'utilisateur

Le redéploiement automatique peut se faire manuellement depuis la machine à condition que la fonction soit activée et que l’utilisateur ait les droits d’administration.

Pour activer la fonction, connectez-vous au portail Microsoft Intune et naviguez dans Device configuration – Profiles.
Procédez à la création d’une stratégie en cliquant sur Create profile. Entrez le nom de la stratégie et choisissez :

• Platform : Windows 10 and later
• Profile type : Device Restriction.

Entrez dans la section General et identifiez le paramétrage Automatic Redeployment. Passez la valeur à Allow.

Cliquez deux fois sur OK puis Create.
Une fois la stratégie créée, assignez là un groupe avec vos périphériques Windows 10.

Note : Ce groupe doit être créé par vos soins. Je vous invite à lire mon article sur le sujet.

Sur le poste de travail, l’utilisateur doit verrouiller la session (CTRL + L) puis maintenir CTRL + WINDOWS + R. La personne doit renseigner un compte qui fait partie des administrateurs de la machine.

Le redéploiement démarre ensuite.

Une fois terminé, un message apparaît sur l’écran de verrouillage pour signifier le succès de l’opération.

Microsoft vient d’annoncer la mise à disposition d’un nouvel ensemble de fonctionnalités pour Microsoft Intune. Comme vous pouvez le constater, les nouveautés sont limitées du fait des vacances de Noël mais ceci n’est peut-être que le calme avant la tempête. Par le passé, les mois qui ont suivi ont été très riches en annonces.

Les fonctionnalités suivantes sont ajoutées :

Gestion des périphériques

• [Android] L’application du portail d’entreprise d’Android étend les actions de résolutions de la partie Update device settings avec les problèmes relatifs au chiffrement du périphérique.
• [Windows 10] L’utilisateur final peut maintenant verrouiller à distance des périphériques depuis l’application du portail d’entreprise pour Windows 10. L’option n’est bien entendu pas disponible pour le périphérique sur lequel il est connecté.
• [Windows 10] L’utilisateur peut maintenant visualiser les raisons de non-conformité dans l’application du portail d’entreprise. Lorsque cela est possible, l’action l’emmènera directement dans l’emplacement adéquat de l’application Paramètres de Windows 10 pour corriger le problème.

GraphAPI

• [General] Disponibilité Générale de l'API Intune dans Microsoft Graph. Cette dernière était en préversion depuis le passage de Microsoft Intune dans le portail Azure. Graph API permet notamment d'automatiser les éléments relatifs à Microsoft Intune.

Plus d’informations sur : https://docs.microsoft.com/en-us/intune/whats-new

En juin dernier, Microsoft annonçait l’arrivée d’un nouveau service à destination de Windows 10 appelé Windows AutoPilot. Ce dernier a pour vocation de simplifier et moderniser le déploiement et la gestion des machines Windows 10. Le but est de rendre une machine opérationnelle dès sa sortie du carton sans avoir à effectuer une remasterisation avec l’image de l’entreprise.

Disponible dès Windows 10 1703 (Creators Update) et avec des améliorations dans les versions suivantes (Windows 10 1709, etc.), l’administrateur peut enregistrer la machine dans le service de manière à personnaliser et automatiser l’expérience Out of the Box (OOBE). La configuration se fait donc depuis le Cloud puisque la machine contacte le service Windows AutoPilot Deployment pour savoir si elle doit appliquer un profil de déploiement. Ce service s’apparente à ce que l’on peut connaître avec les périphériques iOS avec le programme Apple Device Enrollment Program (DEP).

Windows AutoPilot se limite aujourd’hui à la personnalisation de l’expérience de post installation (OOBE) et a pour principal objectif de joindre la machine à un domaine. Une fois cette opération réalisée, la machine peut être enregistrée automatiquement dans la solution d’administration afin de d’appliquer les éléments nécessaires : Conversion en édition Entreprise, Paramètres de configuration, Personnalisations, Applications (Office 365, etc.), profil WiFi, Profil VPN, etc. Toute la configuration se fait sans nécessiter un redémarrage ou une action très avancée de l’utilisateur.

Ce processus réduit donc un des éléments les plus chronophage et couteux du service Informatique : La Masterisation. Il permet de :

• S’affranchir de la gestion d’un master: Avec Windows 10 et le cycle de publication plus fréquent, il devient difficile de faire évoluer le master de l’entreprise.
• S’affranchir de la gestion des drivers : C’est souvent un des éléments les plus consommateur en temps. Les administrateurs doivent valider les drivers des nouveaux modèles ou revalider les drivers des modèles existants lorsqu’une nouvelle version de Windows 10 est publiée. L’utilisation de l’image OEM garantit que les drivers associés, ont été testés par le fabricant.
• D’intégrer de nouveaux modèles plus aisément et de faciliter les approches BYOD/CYOD: Que ce soit pour le BYOD ou des entreprises qui ont un nombre de filiales autonomes importantes, Windows AutoPilot permet plus facilement de gérer ces approches.
• Réduire le temps de mise à disposition en faisant livrer le périphérique directement à l’utilisateur sans avoir à repasser par le service Informatique.
• S’assurer que le périphérique est toujours à jour: Le fabricant OEM qui livre une machine, met à disposition la dernière version de Windows 10.

On distingue deux scénarios :

• Self Employee : Ce scénario implique l’utilisateur sur des actions très limitées : Configuration des options régionales (Clavier, etc.), connexion au réseau Wifi et authentification avec son compte utilisateur. C’est ce scénario que nous détaillerons dans ce billet.
• Plug & Forget : Ce scénario revient à brancher la machine afin qu’elle se configure sans interaction de l’utilisateur et ne plus avoir à s’en soucier. Il peut être utilisé pour des machines industrielles ou en mode Kiosk.
  Note : Ce scénario n’est toujours pas disponible à date d’écriture de l’article.

Cet article s’attache à détailler l’intégration entre Microsoft Intune et Windows AutoPilot.

Prérequis Généraux à Windows AutoPilot

De manière à utiliser Windows AutoPilot, vous devez valider les prérequis suivants :

• Un tenant Azure Active Directory.
• Des licences Azure AD Premium P1 ou P2 pour notamment permettre la jointure automatique à la solution d’administration.
• Une solution d’administration de périphériques mobiles (MDM) telle que Microsoft Intune.

Côté périphérique, vous devez valider les éléments suivants :

• Le périphérique doit être préinstallé avec Windows 10 1703 ou plus en édition Pro, Enterprise ou Education.
• Le périphérique doit disposer d’un accès à Internet (WiFi, câble Ethernet, etc.). A date d’écriture de cet article (Janvier 2018), les réseaux qui nécessitent une configuration proxy posent des problèmes. Ce scénario n’a pas été pris en compte dans l’expérience OOBE, Microsoft travaille pour adresser ce cas d’usages. Vous devez donc autoriser les URLs (Ports HTTPS et HTTP) suivantes :
  • https://go.microsoft.com
  • https://login.microsoftonline.com
  • https://login.live.com
  • https://account.live.com
  • https://signup.live.com
  • https://licensing.mp.microsoft.com
  • https://licensing.md.mp.microsoft.com
  • ctldl.windowsupdate.com
  • download.windowsupdate.com
  • Vous devez ajouter les URLs suivantes si la machine est jointe à Microsoft Intune.
• Le périphérique doit être enregistré auprès du service AutoPilot (voir les étapes suivantes de l’article)

Afin de permettre la jointure à Azure Active Directory, ouvrez le portail Azure Active Directory avec un compte Global Administrator du tenant. Puis naviguez dans Azure Active Directory – Devices – Device settings. Validez que l’option Users may join devices to Azure AD est soit sur All soit sur Selected avec un groupe d’utilisateurs qui feront l’objet de votre démarche d’hybridation.

De manière que le périphérique puisse être géré et configuré par votre solution d‘administration, vous devez activer la jointure automatique lors de la jointure à Azure Active Directory. Pour ce faire toujours dans le portail Azure Active Directory avec un compte Global Administrator du tenant, naviguez dans Azure Active Directory – Mobility (MDM and MAM). Cliquez sur Add Application et cherchez Microsoft Intune (ou votre outil MDM).

Validez que l’option MDM user scope est soit sur All soit sur Selected avec un groupe d’utilisateurs qui pourront utiliser le service AutoPilot avec la jointure automatique à Microsoft Intune.

Cliquez sur Save.

Vous pouvez aussi configurer la personnalisation de votre annuaire avec le nom de l’entreprise. Pour cela dans le portail Azure Active Directory avec un compte Global Administrator, naviguez dans Users and groups – Company branding. Cliquez sur Configure.

Note : Vous pouvez ajouter autant de langues que vous souhaitez. Windows AutoPilot respecte ces langues en fonction de la langue du système d'exploitation installé. 

Sur la page suivante, vous devez renseigner les éléments suivants :

• Banner Logo
• User name hint pour spécifier à l’utilisateur quel type d’adresse il doit renseigner.
• Sign-in page text pour ajouter des éléments supplémentaires lors de la connexion.
• Square logo image

En outre, vous pouvez aussi spécifier le nom du tenant dans Azure Active Directory – Properties Ce nom est utilisé sur les pages de connexion :

Préparation de Windows AutoPilot et de Microsoft Intune

Commencez par vous connecter au Microsoft Store for Business. Si ce n’est pas déjà fait, validez le contrat de licence afin de procéder à la création de votre espace Microsoft Store for Business.

Ouvrez ensuite le portail Microsoft Intune et naviguez dans Device enrollment – Windows enrollment – Deployment Profiles.

Procédez à la création d’un profil. Nommez le profil et choisissez le type de jointure que vous souhaitez. A date de création de cet article (Janvier 2018), seule la jointure Azure Active Directory est disponible.

Note : Microsoft a annoncé la jointure à des domaines Active Directory pour les prochaines versions de Windows 10.

Choisissez ensuite si vous souhaitez afficher les paramètres de vie privée et le contrat de licence utilisateur (EULA). Sélectionnez le type de compte utilisateur (Standard ou Administrateur) qui sera créé :

Sauvegardez et créez le profil.

Vous devez ensuite créer toutes les stratégies de déploiement de configuration ou d’applications nécessaires pour paramétrer la machine selon vos besoins.

Intégration des machines au service Windows AutoPilot

On distingue deux façons d’intégrer les machines au service Windows AutoPilot :

• Intégration faite par le fabricant (OEM, revendeur, etc.). Lorsque vous achetez le matériel, le revendeur intègre directement les identifiants des machines sur votre tenant Azure Active Directory. Ceci vous permet ensuite d’associer les profils que vous souhaitez aux machines. Ce scénario est disponible pour les fabricants suivants : Dell, HP, Lenovo, Microsoft, Panasonic, Toshiba, et Fujitsu.
• Récupération sur des machines existantes ou via un fichier fourni par le fabricant OEM. Dans ce cas de figure, c’est à l’administrateur d’effectuer l’opération d’intégration dans le service Windows AutoPilot et votre tenant Azure Active Directory.

Pour la première option, vous devez vous rapprocher auprès de votre revendeur.
Nous allons donc nous concentrer sur la seconde option. Vous pouvez récupérer les informations nécessaires sur des machines existantes dès lors qu’elles sont équipées de Windows 10 1703. En effet, la récupération d’information se fait via un script qui utilise des classes WMI qui ne sont présentes qu’à partir de cette version de Windows. Il est surement possible de passer par des solutions intermédiaires telles que Windows To Go (Windows PE ne comprend pas les classes WMI nécessaires) pour récupérer l’information sur des systèmes antérieurs (Windows 7, Windows 8, etc.)

Pour ce faire sur la machine cible ou une machine de rebonds, récupérez le script adéquat. Il vous suffit de lancer une invite PowerShell en tant qu’administrateur et d’exécuter les commandes suivantes :
Install-Script -Name Get-WindowsAutoPilotInfo

Validez les trois questions visant à changer la variable d’environnement, le provider NuGet et l’installation dans le répertoire.

Exécutez ensuite la commande suivante :

PowerShell -ExecutionPolicy Bypass -File “C:\Program Files\WindowsPowerShell\Scripts\Get-WindowsAutoPilotInfo.ps1” -ComputerName <NomDeLaMachine> -OutputFile <CheminVersLeFichier.csv>

Note : Si vous faites la récupération à distance, vous devez avoir les exceptions Firewall adéquate et WinRM doit être correctement configuré.

Un fichier CSV est généré avec :

• Le numéro de série du périphérique
• L’identifiant Produit de Windows
• Le Hash Matériel

Une fois le fichier récupéré, vous devez vous connecter sur le Microsoft Store for Business. Naviguez dans Manage – Devices. Cliquez sur Add devices et sélectionnez le fichier que vous avez généré :

Lors de l’ajout, vous pouvez ajouter les périphériques à un groupe de déploiement. Ceci permet par exemple de ranger les machines par service ou par filiale :

Le périphérique est ensuite rajouté au service :

Vous devez ensuite valider sa synchronisation avec Microsoft Intune. Connectez-vous au portail et naviguez dans Device enrollment – Windows enrollment – Devices. Cliquez sur Sync. Notez que la synchronisation a lieu automatiquement à intervalle régulier.

Une fois le ou les périphériques remontés, vous pouvez les assigner au profil que nous avons créé précédemment via le bouton Assign Profile.

Le périphérique assigné, la synchronisation entre Microsoft Intune et AutoPilot fait remonter l’information dans le portail Microsoft Store for Business :

Note : vous pouvez obtenir l’état de la machine en cliquant sur l’enregistrement.

Expérience Utilisateur

Une fois l’opération effectuée, vous devez syspréper la machine sur laquelle vous avez récupérer les informations.

Note : Sysprep ne conserve pas la jointure à Azure Active Directory et à la solution d’administration de périphériques mobiles (MDM).

Lorsque le périphérique démarre, l’utilisateur est invité à sélectionner les options régionales et linguistiques ainsi qu’éventuellement un second clavier.

Si vous disposez d’une carte réseau Wifi et que Internet n’est pas déjà détecté, l’utilisateur est invité à se connecter à un réseau WiFi. Si vous avez déjà une connexion Internet via un cable Ethernet par exemple, l’écran n’est pas affiché :

L’utilisateur arrive ensuite sur la mire de connexion qui peut être personnalisée comme vu précédemment. Il est invité à s’authentifier avec son compte pour effectuer la jointure à Azure Active Directory :

Si votre système d'exploitation dispose d'une autre langue et que vous avez renseigné la langue adéquate dans la personnalisation de votre tenant, vous verrez la personnalisation associée apparaître sur l'écran de connexion :

Le processus effectue ensuite la jointure à Azure Active Directory et à la solution d’administration. Les différentes sont descendues dans la foulée.

Microsoft prépare un écran donnant l’état d’enregistrement avec :

• Les stratégies à appliquer
• Les applications à déployer

Note : Cet écran est en cours de préparation et devrait arriver dans les prochains mois.

Expérience côté IT

Côté IT, on peut voir apparaître le périphérique dans Azure Active Directory et Microsoft Intune :

Dans la partie Windows AutoPilot de Microsoft Intune, on peut voir l’état d’enregistrement et la date de dernier contact du service :

L’administrateur peut éventuellement faire un redéploiement de la machine à distance.

Dépannage

Michael Niehaus a posté deux très bon billets pour parler du dépannage de Windows AutoPilot:

• Troubleshooting Windows AutoPilot (level 100/200)
• Troubleshooting Windows AutoPilot (level 300/400)
• Troubleshooting Windows AutoPilot: Sample ETW Traces

Bon Déploiement !

Microsoft travaille actuellement pour améliorer sa communication et rassurer les entreprises sur les données collectées par le système de télémétrie de Windows 10. Une des nouveautés de la version Windows 10 1803 sera de proposer un outil permettant d’afficher et comprendre ces données. Il est d’ores et déjà possible d’essayer Windows Diagnostic Data Viewer avec les dernières Build Windows Insiders. Ce dernier est disponible depuis le Microsoft Store. Vous pouvez voir les informations suivantes :

• Données communes, comme le nom du système d'exploitation, la version, l'ID de périphérique, la classe de périphérique, la sélection du niveau de diagnostic, etc.
• Connectivité et configuration de l'appareil, telles que les propriétés et capacités de l'appareil, les préférences et les paramètres, les périphériques et les informations réseau de l'appareil.
• Données sur la performance des produits et des services qui montrent l'état de santé, les données sur la performance et la fiabilité de l'appareil, les fonctionnalités de consommation de films sur l'appareil et les requêtes de fichiers de l'appareil. Il est important de noter que cette fonctionnalité n'est pas conçue pour capter les habitudes de visionnement ou d'écoute des utilisateurs.
• Les données d'utilisation des produits et des services comprennent des détails sur l'utilisation de l'appareil, du système d'exploitation, des applications et des services.
• Configuration et inventaire des logiciels, tels que les applications installées et l'historique des installations, les informations de mise à jour de l'appareil.

Pour rappel, voici un article qui résume les données collectées pour le mode Complet : Windows 10 diagnostic data for the Full telemetry level

Source : https://blogs.windows.com/windowsexperience/2018/01/24/microsoft-introduces-new-privacy-tools-ahead-of-data-privacy-day/

Microsoft a créé un guide pas à pas pour vous aider à dépanner les problèmes d’enregistrement de périphériques iOS avec Microsoft Intune. Ce guide permet de comprendre d’où vient le problème en sélectionnant des descriptions de comportement afin de vous proposer des solutions :

Accéder au guide : Troubleshooting iOS device enrollment problems in Microsoft Intune

Steven Rachui (PFE Microsoft) a publié une série de vidéos sur la gestion des mises à jour logicielles avec System Center Configuration Manager Current Branch. Il aborde les différents mécanismes possibles : Windows Update for Business, Express Updates, etc.

Voir les vidéos en question :

• ConfigMgr Current Branch – Software Update Delivery
• ConfigMgr Current Branch – Windows Update for Business
• ConfigMgr Current Branch – Express Updates

Microsoft va proposer un événement de questions/réponses. Cet évènement aura lieu le mardi 30 janvier de 18h à 19h (heure française). Ask Microsoft Anything est une belle opportunité pour poser des questions sur Microsoft Edge.

Pour s’inscrire : https://techcommunity.microsoft.com/t5/Microsoft-Edge-AMA/bd-p/MicrosoftEdgeAMA

David Paulson (MSFT) propose depuis quelques années un script qui permet de faire la collection des journaux liés à Exchange Server. La dernière mise à jour de son script permet la collecte à distance. Ceci ne peut se faire que si la machine autorise la commande Invoke-Command à distance. Ce n’est pas le cas des serveurs Windows Server 2008 R2.

Télécharger Exchange Log Collector

Plus d’information sur : Exchange Log Collector Script

Microsoft a publié un script à destination de Microsoft Teams permettant de créer un Team public à l’échelle de l’entreprise. Le script utilise le module PowerShell Microsoft Teams ainsi que le module Azure AD pour récupérer la liste des utilisateurs associé au tenant.

Télécharger PowerShell script - Create org-wide team in Microsoft Teams

Microsoft fournit un correctif non officiel au Management Pack pour Microsoft Azure et corriger le comportement du moniteur vérifiant les certificats d’administration Azure. Ce Management Pack corrige le fait qu’il ne donne pas le nom du certificat ainsi que la possibilité de ne pas superviser certains certificats.

Plus d’informations sur : Replacement Azure Management Certificate Monitoring

Lorsque vous utilisez Office en version 16.0.8628.2010 ou plus avec le client Azure Information Protection sur une configuration à écrans multiples, il est nécessaire d’adapter la configuration.  Il se peut en effet que la barre du client AIP soit affichée en dehors des applications Office. Vous devez alors activer le support hérité pour les écrans dans File > Options > General > User Interface options.

Si vous voyez l’option Use best settings for my display/Utiliser les paramètres optimaux pour mon écran, désactivez l’option.

Si vous voyez l’option When using multiple display/Lors de l’utilisation de plusieurs écrans, configurez à Optimize for compatibility/Optimiser pour la compatibilité.

Microsoft travaille sur la correction du problème dans la prochaine préversion du client qui sera la prochaine version générale.

Source : https://docs.microsoft.com/en-us/information-protection/rms-client/client-admin-guide-install

Avec la mobilité, le télétravail, et les services dans le Cloud, on parle de plus en plus d’identité Cloud. Nombreuses sont les entreprises qui utilisent un fournisseur d’Identity as a Service (IDaaS). C’est le fer de lance de Microsoft qui propose Azure Active Directory, l’annuaire dans le Cloud qui constitue la base de tous les services Cloud (Office 365, Microsoft Intune, etc.). Jusqu’alors les questions autour de ce service se posaient avec Office 365 qui engendrait l’usage d’Azure Active Directory (Edition Basic) pour les entreprises qui souscrivaient au service.

Avec l’augmentation des services Cloud, Azure Active Directory constitue une pierre angulaire qui touche aujourd’hui une autre brique essentielle : Le poste de travail. Avec l’arrivé de Windows 10, il est désormais possible de joindre une machine à Azure Active Directory en lieu et place d’Active Directory. Cela signifie que la relation de confiance se fait avec l’annuaire dans le Cloud offrant du SSO pour les services associés. Dans le même temps, ce scénario permet plus facilement la mobilité, le télétravail et la souplesse de la gestion qui s’en voit modernisée.

Dans les prochains mois, les entreprises vont se mettre à hybrider l’identité de manière à permettre les scénarios croisés suivants :

• Machines jointes à Azure Active Directory d’accéder aux ressources internes : serveurs de fichiers, applications internes, etc.
• Machines jointes à Active Directory d’accéder aux ressources Cloud avec du Single Sign-On (Office 365, etc.) mais aussi à fournir des fonctionnalités supplémentaires comme l’accès conditionnel, le Co-Management, etc.

L’hybridation est un élément essentiel à planifier dans l’évolution du Service Informatique de manière à offrir une expérience utilisateur cohérente. Quelque soit la stratégie d’identité que vous percevez, je vous invite à lire un article très intéressant qui parle du Design : Azure Active Directory Hybrid Identity Design Considerations

L’objet de cet article permet d’aborder les différentes opérations pour réaliser les deux scénarios cités plus haut :

• Pour permettre à des machines jointes à Azure Active Directory d’accéder aux ressources internes, il faut réécrire les enregistrements créés dans l’annuaire interne : Device Writeback.
  Notez que les enregistrements d’un tenant Azure Active Directory ne peuvent pas être réécrits dans plus forêts.
• Pour permettre à des machines jointes à Active Directory d’accéder aux ressources Cloud avec du Single Sign-On (Office 365, etc.), il faut qu’elles s’enregistrent dans Azure Active Directory. C’est ce qu’on appelle la jointure hybride Azure AD (Hybrid Azure AD Join) ou anciennement Domain Join++ (DJ++).

On distingue un troisième scénario que l’on appelle Azure AD registered (ou anciennement Workplace Join) et qui concerne les périphériques Bring Your Own Device (BYOD) et donc non joints à Active Directory ou Azure Active Directory. Ceci peut concerner donc les périphériques iOS, Android ou Windows 10 où un compte Azure Active Directory a été ajouté à un des services Cloud utilisés localement (Office 365, Microsoft Intune). Dans le cas de Windows 10, cela correspond à l’ajout du compte Azure Active Directory comme compte du système.

Note : Ces scénarios s’appliquent quelque soit le mode d’authentification utilisé : Synchronisé, Fédéré (via Active Directory Federation Services ou d’autres services) ou via l’authentification Pass-Through.

Si vous souhaitez en apprendre plus sur les mécanismes d’authentification présents derrière l’hybridation, je vous invite à regarder l’excellente vidéo de Jairo Cadena (PM Identity – Microsoft) à l’occasion du Microsoft Ignite 2016 : Join your Windows 10 devices to Azure AD for anywhere, anytime productivity

Prérequis généraux

Cet article part du principe que vous avez installé ou configuré un certain nombre de prérequis comme :

• Un annuaire Active Directory On-Premises. Selon la configuration de votre annuaire (une ou plusieurs forêts), les opérations qui suivent peuvent diverger.
• Un tenant Azure Active Directory.
  • Scénario Device Writeback : Ceci requiert l’édition Premium (P1 ou P2) d’Azure Active Directory.
  • Scénario Azure AD Hybrid Join : Vous pouvez l’utiliser sous toutes les formes: Au travers d’Office 365, Azure Active Directory Free, Basic ou Premium (P1 ou P2).
• Azure AD Connect permettant la synchronisation d’une partie de votre annuaire dans l’annuaire dans le Cloud Azure Active Directory. Vous devez à minima synchroniser les utilisateurs. Pour plus d’informations sur son installation, rendez-vous sur : Integrate your on-premises directories with Azure Active Directory.
• Windows 10 1511 ou ultérieur. Microsoft recommande l’usage de Windows 10 1803 avec KB4489894 pour éviter les états dupliqués.

Rappel : Active Directory Federation Services (AD FS) n’est pas nécessaire puisque les scénarios sont aussi valables pour des identités avec synchronisation du mot de passe ou authentification Pass-Through.

L’article suivant ne s’applique qu’avec des contrôleurs de domaine Windows Server 2008 R2 ou plus. Pour des contrôleurs de domaine de versions antérieures, vous devez utiliser des scripts dédiés.

Afin de permettre le second scénario, assurez-vous que vous autorisez la jointure à Azure Active Directory. Pour cela, ouvrez le portail Azure Active Directory avec un compte Global Administrator du tenant. Puis naviguez dans Azure Active Directory – Devices – Device settings. Validez que l’option Users may join devices to Azure AD est soit sur All soit sur Selected avec un groupe d’utilisateurs qui feront l’objet de votre démarche d’hybridation.

Pour le premier scénario, vous devez vous assurer que l’option Users may register their devices with Azure AD est à All. L’option peut être grisée sur cette option si vous utilisez des services Cloud tels que Microsoft Intune ou Office 365. En effet, cette option constitue un prérequis.

Configuration de l’hybridation Azure AD vers Active Directory (Device Writeback)

Commencez par valider que vous disposez bien de l’abonnement à Azure AD Premium (P1 ou P2) ou Enterprise Mobility + Security (EMS) ou Microsoft 365.

La première étape consiste à préparer Active Directory en procédant à l’extension du schéma nécessaire.

Sur la machine où vous avez installé Azure AD Connect, vous devez installer la fonctionnalité Remote Server Administration Tools for AD DS. Vous pouvez le faire via PowerShell: Add-WindowsFeature RSAT-AD-Tools.

Validez ensuite que le module PowerShell Azure Active Directory est installé. Dans le cas contraire, vous pouvez le télécharger et l’installer.

Identifiez ensuite le compte utilisé pour exécuter Azure AD Connect en ouvrant la console des services sur le serveur. Cherchez le service Microsoft Azure AD Sync :

L’étape qui suit procède à l’extension de schéma, suivez votre procédure interne pour cette action. Lancez PowerShell en tant qu’enterprise admin et exécutez la commande suivante :

Import-Module 'C:\Program Files\Microsoft Azure Active Directory Connect\AdPrep\AdSyncPrep.psm1'

Initialize-ADSyncDeviceWriteback –DomainName <NOM DE DOMAINE INTERNE utilisé pour stocker les objets> -AdConnectorAccount <NOM DU COMPTE UTILISATEUR QUI EXECUTE LE SERVICE AAD CONNECT>

Une fois la commande exécutée, vous pouvez valider l’apparition d’un conteneur RegisteredDevices dans l’arborescence de votre annuaire. La commande a aussi spécifier les permissions adéquates pour le compte qui exécute le connecteur Azure Active Directory :

Via ADSIEdit, vous pouvez aussi valider la création du conteneur Device Registration Services dans la partition de configuration puis Services :

Lancez ensuite l’assistant Microsoft Azure Active Directory Connect et cliquez sur Configure.

Sur l’écran suivant, sélectionnez la tâche Customize synchronizaiton options puis entrez les identifiants d’un administrateur global du tenant.

Passez l’écran Connect Directories dans la mesure où cette opération a déjà été réalisée lorsque vous avez installé Azure AD Connect.

Sur l’écran Domain/OU Filtering, vous pouvez noter que le conteneur RegisteredDevices a été automatiquement coché pour signifier la synchronisation des objets Azure AD.

Sur l’écran Optional features, cochez la case Device writeback.

Note: Si la case est grisée, cela signifie que les permissions du compte de service qui exécute Azure AD Connect n’ont pas correctement été configurée sur les conteneurs.

Spécifiez la forêt dans laquelle réécrire les enregistrements associés au tenant. En effet comme expliqué dans l’introduction, il n’est possible de réécrire les périphériques que dans une seule forêt excepté si vous synchronisez plusieurs tenants Azure AD.

Enfin terminez l’assistant en cliquant sur Configure pour lancer la synchronisation puis Exit.

Après quelques minutes, des enregistrements de type msDS-Device apparaissent dans le conteneur Registered Devices.

Dès lors les machines jointes à Azure Active Directory peuvent accéder aux ressources internes sans avoir à renseigner leurs identifiants à nouveau. Les enregistrements sont créés sur l’annuaire On-Premises en fonction de l’intervalle de synchronisation d’Azure AD Connect.
Pour la suite, je vous invite à lire la suite de l’article ou à passer à la gestion du cycle de vie des enregistrements.

Configuration de l’hybridation Active Directory vers Azure AD (Azure AD Hybrid Join)

L’article ne traite pas de la mise en œuvre pour des périphériques équipés avec des systèmes d’exploitation inférieurs à Windows 10 (Ex : Windows 7 ou Windows 8.1). Dans ce cas, vous devez suivre des actions supplémentaires.

La première étape consiste à configurer le Service Connection Point (SCP) sur votre forêt. Ce dernier est utilisé par les machines pour découvrir les informations sur le tenant Azure Active Directory. Ces informations sont nécessaires pour l’enregistrement et sont présentes dans la partition de configuration. Vous pouvez utiliser ADSIEdit pour vérifier si le conteneur est présent dans Configuration – Services – Device Registration Configuration.

Note : La création du SCP est faite automatiquement lors de l’installation d’Azure AD Connect en mode Express avec un compte enterprise admin.

Si ce n’est pas le cas, vous devez préparer la forêt Active Directory en procédant à l’extension du schéma nécessaire.

Sur la machine où vous avez installé Azure AD Connect, vous devez installer la fonctionnalité Remote Server Administration Tools for AD DS. Vous pouvez le faire via PowerShell: Add-WindowsFeature RSAT-AD-Tools.

Validez ensuite que le module PowerShell Azure Active Directory est installé. Dans le cas contraire, vous pouvez le télécharger et l’installer.

Identifiez ensuite le compte utilisé pour exécuter Azure AD Connect en ouvrant la console des services sur le serveur. Cherchez le service Microsoft Azure AD Sync :

L’étape qui suit procède à l’extension de schéma, suivez votre procédure interne pour cette action. Lancez PowerShell en tant qu’enterprise admin et exécutez la commande suivante :

Import-Module 'C:\Program Files\Microsoft Azure Active Directory Connect\AdPrep\AdSyncPrep.psm1'

Initialize-ADSyncDomainJoinedComputerSync  -AdConnectorAccount <NOM DU COMPTE UTILISATEUR QUI EXECUTE LE SERVICE AAD CONNECT>

Spécifiez un compte administrateur global du tenant.

Note : L’opération doit être réalisée sur toutes les forêts que vous pouvez procéder.

Une fois la commande exécutée, vous pouvez valider la création du conteneur Device Registration Condiguration dans la partition de configuration via ADSIEdit ainsi que les permissions nécessaires au compte qui exécute Azure AD Connect :

Vous devez valider que les conteneurs contenant les enregistrements des machines jointes à Active Directory qui s’enregistreront à Azure Active Directory, sont synchronisés par Azure AD Connect. Ceci permet d’assurer un enregistrement optimal mais aussi la gestion du cycle de vie des enregistrements. Pour cela, vous devez lancer l’assistant Microsoft Azure Active Directory Connect.

L’étape suivante ne concerne que les environnements fédérés avec un outil tels qu’Active Directory Federation Services (AD DS). Vous devez créer les émissions de revendications ou Claims. Ceci permet aux périphériques de s’authentifier pour obtenir un token d’accès pour s’enregistrer sur le service Azure Active Directory Device Registration Service (Azure DRS).

Avec AD FS, vous devez valider que les Endpoints adfs/services/trust/13/windowstransport ou adfs/services/trust/2005/windowstransport sont activés.

Voici un script à exécuter pour procéder à la création des règles de transformation d’émission AD FS :

$multipleVerifiedDomainNames = $false
$immutableIDAlreadyIssuedforUsers = $false
$oneOfVerifiedDomainNames = 'example.com'   # Replace example.com with one of your verified domains

$rule1 = '@RuleName = "Issue account type for domain-joined computers"
c:[
    Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid",
    Value =~ "-515$",
    Issuer =~ "^(AD AUTHORITY|SELF AUTHORITY|LOCAL AUTHORITY)$"
]
=> issue(
    Type = "http://schemas.microsoft.com/ws/2012/01/accounttype",
    Value = "DJ"
);'

$rule2 = '@RuleName = "Issue object GUID for domain-joined computers"
c1:[
    Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid",
    Value =~ "-515$",
    Issuer =~ "^(AD AUTHORITY|SELF AUTHORITY|LOCAL AUTHORITY)$"
]
&&
c2:[
    Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname",
    Issuer =~ "^(AD AUTHORITY|SELF AUTHORITY|LOCAL AUTHORITY)$"
]
=> issue(
    store = "Active Directory",
    types = ("http://schemas.microsoft.com/identity/claims/onpremobjectguid"),
    query = ";objectguid;{0}",
    param = c2.Value
);'

$rule3 = '@RuleName = "Issue objectSID for domain-joined computers"
c1:[
    Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid",
    Value =~ "-515$",
    Issuer =~ "^(AD AUTHORITY|SELF AUTHORITY|LOCAL AUTHORITY)$"
]
&&
c2:[
    Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid",
    Issuer =~ "^(AD AUTHORITY|SELF AUTHORITY|LOCAL AUTHORITY)$"
]
=> issue(claim = c2);'

$rule4 = ''
if ($multipleVerifiedDomainNames -eq $true) {
$rule4 = '@RuleName = "Issue account type with the value User when it is not a computer"
NOT EXISTS(
[
    Type == "http://schemas.microsoft.com/ws/2012/01/accounttype",
    Value == "DJ"
]
)
=> add(
    Type = "http://schemas.microsoft.com/ws/2012/01/accounttype",
    Value = "User"
);

@RuleName = "Capture UPN when AccountType is User and issue the IssuerID"
c1:[
    Type == "http://schemas.xmlsoap.org/claims/UPN"
]
&&
c2:[
    Type == "http://schemas.microsoft.com/ws/2012/01/accounttype",
    Value == "User"
]
=> issue(
    Type = "http://schemas.microsoft.com/ws/2008/06/identity/claims/issuerid",
    Value = regexreplace(
    c1.Value,
    ".+@(?<domain>.+)",
    "http://${domain}/adfs/services/trust/"
    )
);

@RuleName = "Issue issuerID for domain-joined computers"
c:[
    Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid",
    Value =~ "-515$",
    Issuer =~ "^(AD AUTHORITY|SELF AUTHORITY|LOCAL AUTHORITY)$"
]
=> issue(
    Type = "http://schemas.microsoft.com/ws/2008/06/identity/claims/issuerid",
    Value = "http://' + $oneOfVerifiedDomainNames + '/adfs/services/trust/"
);'
}

$rule5 = ''
if ($immutableIDAlreadyIssuedforUsers -eq $true) {
$rule5 = '@RuleName = "Issue ImmutableID for computers"
c1:[
    Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid",
    Value =~ "-515$",
    Issuer =~ "^(AD AUTHORITY|SELF AUTHORITY|LOCAL AUTHORITY)$"
]
&&
c2:[
    Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname",
    Issuer =~ "^(AD AUTHORITY|SELF AUTHORITY|LOCAL AUTHORITY)$"
]
=> issue(
    store = "Active Directory",
    types = ("http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID"),
    query = ";objectguid;{0}",
    param = c2.Value
);'
}

$existingRules = (Get-ADFSRelyingPartyTrust -Identifier urn:federation:MicrosoftOnline).IssuanceTransformRules

$updatedRules = $existingRules + $rule1 + $rule2 + $rule3 + $rule4 + $rule5

$crSet = New-ADFSClaimRuleSet -ClaimRule $updatedRules

Set-AdfsRelyingPartyTrust -TargetIdentifier urn:federation:MicrosoftOnline -IssuanceTransformRules $crSet.ClaimRulesString

Note : La création des règles de transformation d’émission est faite automatiquement lors de l’installation d’Azure AD Connect en mode Express ou Custom.

Une fois ces opérations réalisées, les périphériques joints au domaine peuvent s’enregistrer à Azure Active Directory. Les comportements suivants sont observés :

• Pour Windows 10 1607 (Anniversary Update) ou plus, l’enregistrement s’effectue automatiquement lorsque le périphérique démarre ou lorsqu’un utilisateur se connecte.
• Les périphériques Windows 10 1511 joigne automatiquement si la stratégie de groupe (GPO) ou la stratégie du client ConfigMgr est configurée.
• Pour les clients inférieurs à Windows 10, vous devez déployer le package dédié.

Pour plus d’informations, je vous invite à lire : How to configure hybrid Azure Active Directory joined devices.

La dernière étape consiste à inciter les machines à s’enregistrer. Ceci peut se faire par GPO, System Center Configuration Manager ou manuellement.

Vous pouvez créer la GPO qui permet de forcer l’enregistrement. Pour rappel avec Windows 10 1607, l’opération a lieu automatiquement.

Vous devrez peut-être intégrer les ADMX de Windows 10 dans votre store afin de pouvoir éditer ce nouveau paramètre de GPO.

Ouvrez une GPO existante ou procédez à la création d’un GPO. Naviguez ensuite dans Computer Configuration > Policies > Administrative Templates > Windows Components > Device Registration. Passez le paramètre Register domain joined computers as devices à Enabled.

Avec System Center Configuration Manager, créez ou ouvrez une stratégie cliente existante. Naviguez dans Cloud Services et validez que le paramètre Automatically register new Windows 10 domain joined devices with Azure Active Directory est à Yes. Déployez la stratégie sur une collection comprenant vos machines Windows 10 si ce n’est pas déjà fait.

Vous pouvez aussi joindre manuellement une machine en utilisant la commande dsregcmd /join. Cette dernière doit être exécutée en tant qu’administrateur.

Cette même commande permet aussi de consulter d’enregistrement d’une machine : dsregcmd /status

Gestion du cycle de vie des enregistrements

Une fois que vous avez activé la création des enregistrements dans les deux annuaires, la question du cycle de vie se pose ! Et bien entendu la réponse se situe au niveau d’Azure AD Connect. Il est ensuite nécessaire de savoir quelle source est maintenue à jour ? Azure Active Directory ou Active Directory ?

Lorsque les enregistrements Azure Active Directory est réécrit dans le conteneur RegisteredDevices dans Active Directory, l’identifiant est utilisé comme nom. Vous pouvez obtenir plus de détails en ouvrant la liste des attributs :

• msDS-DeviceID correspond à l’identifiant unique dans Azure Active Directory. Ce dernier est aussi présent dans le cn.
• displayName contient le véritable nom de la ressource.
• msDS-DeviceOSType correspond au type de système d’exploitation (Windows, iOS, etc.)
• msDS-DeviceOSVersion correspond à la version du système d’exploitation.
• msDS-IsCompliant comprend l’état de conformité de l’enregistrement dans Azure Active Directory.
• msDS-IsEnabled comprend l’état de l’enregistrement dans Azure Active Directory.
• msDS-IsManaged comprend l’état de gestion (MDM) du périphérique dans Azure Active Directory.

On retrouve ces éléments dans le portail Azure Active Directory au niveau de la vue du périphérique :

Il est notamment possible de désactiver ou supprimer l’enregistrement. Ces actions lorsqu’elles sont réalisées sont répercutées dans l’annuaire interne par Azure AD Connect :

Il en est bien entendu de même pour les machines jointes au domaine Active Directory qui se sont enregistrées dans Azure Active Directory :

 Il est donc possible de réaliser ces opérations des deux côtés pour qu’elles se répercutent sur l’autre extrémité.

Dépannage

On retrouve différents moyens de dépanner les problèmes liés à l’hybridation :

• Sur les machines concernées, vous retrouvez des fichiers de journalisation avec notamment :
  • Applications and Services Logs – Microsoft – Windows – AAD
  • Applications and Services Logs – Microsoft – Windows – User Device Registration
• Sur le composant Azure AD Connect, vous retrouvez :
  • Windows – Application avec la source Directory Synchronization
• Sur les différents composants Azure AD Connect et Active Directory Federation Services, vous retrouvez :
  • Applications and Services Logs - AD FS

Microsoft propose une série de webcasts à la demande sur SQL Server 2017 sur Linux :

• SQL Server 2017 on Linux- #1 in price and performance—with massive scale
• SQL Server 2017 on Linux, Providing Industry leading security
• SQL Server 2017 on Linux, In-memory technologies

S’enregistrer à l’un des webcasts

Microsoft a mis à jour (v4.25) le célèbre outil Bginfo de SysInternals. Cette version corrige des régressions introduites dans les versions 4.23 et 4.24.

Télécharger Bginfo v4.25

A l’occasion du salon Bett sur le thème de l’éducation, Microsoft a annoncé des nouveautés pour sa suite de produits et services.

Général

• Microsoft commence par annoncer de nouveaux matériels à des prix très accessibles.
• Minecraft Education Edition se voit rafraichi avec une mise à jour Chimie.

Office 365

• Les outils Microsoft Learning améliorent la lecture, l’écriture et la compression des étudiants. On retrouve notamment
  • la capacité de dicter via la voix dans Word, Word Online, PowerPoint, Outlook Desktop, OneNote Windows 10, et OneNote Online
  • La lecture à haute voix permet de lire le contenu d’un email en surlignant chaque mot de manière synchronisée avec Outlook Desktop.
  • la lecture immersive dans Word for Mac, iPhone, Outlook Desktop, OneNote iPad, et OneNote Mac.
• OneNote Class inclut maintenant l’intégration des notes et assignations pour les élèves de Grande Bretagne.
• OneNote intègre maintenant une capacité permettant de verrouiller les pages en lecture seule.
• Teams est disponible sur iOS et Android pour les professeurs et les étudiants.
• PowerPoint permet aux professeurs d’enregistrer des leçons en incluant les diapositives, l’écriture interactive, la vidéo, la narration. Le professeur peut ensuite publier directement dans la classe Teams. Le streaming ajoute automatiquement els sous-titres à la vidéo.

Plus d’informations sur : https://blogs.office.com/en-us/2018/01/22/office-365-education-delivers-the-next-wave-of-innovation-for-inclusive-and-collaborative-learning/

Microsoft Intune for Education

L’an dernier, Microsoft annonçait une version spécifique de Microsoft Intune pour l’Education. Cette année, Microsoft continue son investissement avec :

• La simplification de la délégation avec des administrateurs supplémentaires (au niveau de l’école, de la ville, etc.)
• L’ajout de nouveaux paramétrages de configuration pour Windows 10 (profils Wi-Fi, Redéploiement automatique de Windows, gestion de l’énergie)
• Des éléments sur les périphériques et utilisateurs gérés (par exemple : l’état du déploiement, les journaux d’audit, les rapports Windows Defender, etc.)

Plus d’informations sur : https://cloudblogs.microsoft.com/enterprisemobility/2018/01/22/new-updates-to-intune-for-education-simplifies-delegation-adds-windows-controls-and-improves-insights/

Source : https://blogs.windows.com/windowsexperience/2018/01/22/microsoft-education-unveils-new-windows-10-devices-starting-at-189-office-365-tools-for-personalized-learning-and-curricula-to-ignite-a-passion-for-stem/

Microsoft s’est associé avec Saaswedo, une entreprise française qui fournit une solution de gestion des dépenses télécom (TEM). C’est une problématique commune à toutes les entreprises : Comment gérer les flottes de forfait et éviter les surprises lors de la facturation ? La solution Datalert de Saaswedo répond à ce besoin en collectant la consommation de données en fonction des emplacements géographique du périphérique. Cette dernière s’intègre à Microsoft Intune pour éventuellement bloquer la consommation de données en fonction de stratégie. La solution vient en sus de Microsoft Intune sous la forme d’un abonnement par périphérique par mois. Elle a notamment été choisie par Gartner comme 2017 Gartner Cool Vendor in Mobile & Wireless Analytic.

Saaswedo et sa solution Datalert! offre les services suivants :

• Supervision des connexions (WiFi, 3G/4G, etc.) et données mobiles
  • Analyser les coûts d’itinérance par zone géographique
  • Afficher l’état de la consommation de données à l’échelle de l’entreprise
  • Envoi automatique d’alertes et de notifications personnalisées.
• Gestion des connexions et de l’itinérance
  • Définition des limites de consommation quotidienne, hebdomadaire et mensuelle des données par utilisateur ou par groupe
  • Blocage de l’itinérance/connexion en fonction des limites définies

Note : Il est nécessaire de ne pas confondre Datalert! de Saaswedo et la solution DatAlert de Varonis. Cette dernière est une solution de sécurité sur les données entrantes dans l’entreprise.

Aujourd’hui la solution est disponible pour les périphériques iOS et Android.

Le but de cette série d’articles est de faire un tour d’horizon de l’intégration entre Microsoft Intune et Datalert avec les phases de mise en œuvre et d’exploitation :

• Datalert! : Aperçu de la solution de gestion des dépenses Telecom (TEM) (configurations préliminaires du tenant et déploiement de l’application)
• Datalert! : Configuration de la solution de gestion des dépenses Telecom (TEM)
• Datalert! : Enregistrement des périphériques iOS & Android et utilisation du service

Cette partie de la série se concentre sur l’expérience utilisateur lors de l’enregistrement et l’utilisation du service.

Avant de démarrer, vous devez disposer d’un abonnement Microsoft Intune. A date d’écriture de cet article (Décembre 2017), Datalert s’intègre uniquement à une configuration Microsoft Intune en mode autonome.

Enregistrement sur iOS et Android

Dans l’article précédent, nous avons déployé l’application DatAlert! sur les périphériques iOS et Android. Cette dernière doit donc apparaître sur le périphérique :

Note : Ceci requiert bien entendu que le périphérique soit enregistré dans la solution d’administration.

L’utilisateur peut donc lancer l’application pour procéder à l’enregistrement. Un écran de bienvenue, explique l’intérêt de l’application et invite l’utilisateur à configurer le service. Deux options d’enregistrement sont proposées :

• Via le numéro de téléphone. Vous devez renseigner le numéro de téléphone. Un message vous sera envoyé avec un code à utiliser pour confirmer l’enregistrement.
• Via le compte Azure Active Directory de l’utilisateur auquel la licence Microsoft Intune (ou EMS) est associée. Cette méthode de connexion requiert l’application Microsoft Authenticator. L’utilisateur doit au préalable avoir ajouté son compte Azure Active Directory. Si cela n’a pas été fait, l’application est lancée pour qu’il effectue l’opération lui-même.

Quelle que soit la méthode, l’application est ensuite configurée. Vous pouvez cliquer sur Terminer. Vous arrivez ensuite sur l’écran principal. Une notification informe l’utilisateur qu’il peut être notifier et que les données consommées peuvent être comptabilisées. Saaswedo précise que la puce GPS n’est pas utilisée. L’utilisateur est ensuite invité à valider l’accès aux données de localisation.

Expérience Utilisateur de l’application

L’application permet à l’utilisateur de suivre sa consommation de données selon trois espaces : Wifi, 3G/4G et Roaming. Il peut filtrer les données sur la journée, par semaine ou par mois.

Dans la partie Roaming, on retrouve deux types de vue permettant éventuellement d’obtenir une vision globale de toutes les zones ou de focaliser sur une zone en particulier :

Outre les politiques définies par l’administrateur, l’utilisateur peut configurer lui-même des alertes sur les différents compteurs (Wifi, 3G/4G, Roaming) :

L’utilisateur peut recevoir des notifications en Push pour l’informer de différents éléments comme la mise à jour de son forfait par l’administrateur, la nécessité d’ouvrir l’application pour permettre le fonctionnement optimal du service, etc.

Utilisation du service au quotidien par l’administrateur

Le point d’entrée de l’administrateur est le tableau de bord du portail Datalert!. Il retrouve sur cet espace des éléments comme :

• Le nombre de lignes non enregistrées
• Le nombre de lignes muettes et qui n’ont donc pas communiquée pendant une période importante
• Le nombre de ligne en dépassement.
• Le coût total de l’itinérance pour la période en cours.
• Une carte proposant les informations sur l’usage en roaming, en zone Domestique ou Domestique étendu, en Wifi ou le nombre de lignes.
• Un graphe avec la consommation (itinérance, domestique, domestique étendu, Wifi) par jour. Vous pouvez cliquer sur les valeurs qui vous intéressent afin d’obtenir la liste des lignes concernées.

• Des diagrammes circulaires par forfait offrant une vue de la consommation par zone. Ce dernier permet de filtrer par opérateur et par forfait. Vous pouvez cliquer sur les valeurs qui vous intéressent afin d’obtenir la liste des lignes concernées.

• La liste de toutes les lignes en itinérance avec la consommation totale et la possibilité d’envoyer un message ou de désactiver la donnée en itinérance ou en usage domestique. Depuis ce même panneau, vous pouvez lancer des actions plus globales sur chacune des lignes.

Note : vous pouvez changer l’intervalle du tableau de bord en haut à gauche pour avoir les informations sur la journée, la semaine, le mois, les 30 derniers jours (par défaut) ou un intervalle personnalisé.

L’espace Lignes affiche l’ensemble des lignes importées ou enregistrées dans le service. On retrouve pour chaque ligne :

• Le nom/prénom de l’utilisateur
• Le numéro de téléphone. Il est notamment possible de cliquer sur le numéro pour lancer l’application associée à cette action et éventuellement joindre l’utilisateur.
• Le système d’exploitation (Android ou iOS)
• L’opérateur et le pays
• Le forfait
• La période d’étalement du forfait
• La consommation totale en itinérance
• La consommation totale Domestique
• Le nombre d’alertes générées et la stratégie appliquée
• La date de dernière connexion
• Les tags d’identification associés à la ligne : Ces derniers permettent de filtrer selon vos besoins (par service, fonction, etc.)

La partie haute permet d’afficher en lieu et place de la consommation : Les coûts ou le pourcentage de consommation.

Une fonction permet la recherche par utilisateur, numéro de téléphone ou tag. La liste est filtrable selon certaines caractéristiques de lignes :

• En dépassement
• En itinérance
• Non enregistrées
• Sans forfait,
• Muettes

Note : Il est possible d’exporter les informations.

Lorsque, vous sélectionnez une ou plusieurs lignes, un menu est disponible pour permettre de choisir une action à appliquer :

• Définir le forfait des lignes
• Dissocier la politique télécom
• Envoyer un message parmi ceux définit dans les réglages.
• Gérer les étiquettes/tags
• Envoyer un lien d’enregistrement (email ou SMS)
• Révoquer la ligne
• Supprimer la ligne
• Activer ou désactiver l’itinérance
• Activer ou désactiver l’usage de la donnée
• Synchroniser le forfait lorsque vous avez opéré un changement sur ce dernier.

En cliquant sur une ligne, vous pouvez obtenir une vue plus détaillée avec des diagrammes plus précis de la consommation Wifi, domestique ou en itinérance. On retrouve aussi un tableau de consommation, une carte du monde permettant de voir la répartition et le coût total de l’itinérance.

Pour les périphériques Android uniquement, une vue permet de voir la répartition de la consommation de données par application. Celle-ci peut être affichée en cliquant sur la flèche rouge sur la partie gauche de l’écran.

Suivi de la consommation par Applications

Outre les fonctions vues précédemment, Datalert! a ajouté récemment une fonctionnalité permettant de suivre la consommation de données par application. Cette fonctionnalité est disponible pour les systèmes Android uniquement. En effet, la plateforme iOS bride ces usages.

Vous pouvez accéder au tableau de bord via le menu Apps. Le tableau d’accueil comprend :

• Un diagramme circule de répartition des applications selon un nombre défini.
• Le nombre total d’applications détectées
• La répartition par plateformes
• La répartition entre applications dites professionnelles et personnelles
• Le top des applications avec le volume de données générées et le pourcentage associé. Une barre de recherche permet de se focaliser sur une application spécifique.

Le tableau de bord peut être lorsque les données ont été générées en itinérance, Domestique, Domestique étendu et Wifi.

Le bouton orné d’un personnage à gauche permet de passer sur une vue par ligne affichant :

• Les données générées en itinérance, Domestique, Domestique étendue, Wifi
• Le nombre total d’applications
• Le top 3 des applications et la consommation associée

Le bouton orné d’une étoile permet de catégoriser les applications entre usage personnel et professionnel :

Conclusion

Vous avez pu voir une solution de gestion des dépenses télécom (TEM) complète qui ne cesse de s’étoffer. Son intégration avec Microsoft Intune rend la solution de gestion de périphériques mobiles (MDM) plus complète pour les entreprises qui veulent pouvoir correctement gérer les coûts associés aux abonnements téléphoniques.

Microsoft vient de mettre à disposition la Technical Preview 1801 (5.0.8611.1000) de System Center Configuration Manager. Pour rappel, ConfigMgr a subi une refonte de sa structure pour permettre des mises à jour aisées de la même façon que l’on peut le voir avec Windows 10. Si vous souhaitez installer cette Technical Preview, vous devez installer la Technical Preview 1711 puis utiliser la fonctionnalité Updates and Servicing (nom de code Easy Setup).

Note :  La mise à niveau échoue si vous avez un serveur de site en mode passif. Ceci peut être le cas si vous utilisez la Technical Preview 1706, 1707, 1708, 1709, 1710, 1711 ou 1712. Vous devez alors désinstaller le serveur de site en mode passif.

System Center Configuration Manager TP 1801 comprend les nouveautés suivantes :

Administration

• L’administrateur peut créer des déploiements phasés (Phased deployment) afin d’automatiser et coordonner le séquencement du déploiement d’un logiciel sans avoir à créer plusieurs déploiements. Ceci permet de choisir plusieurs collections et des seuils de validation (pourcentage de succès, nombre de clients installés) pour passer à la collection suivante. Notez que pour l'instant cette fonctionnalité n'a pas d'impact sur les clients ; elle est dans cette version uniquement esthétique.
• On retrouve du Reporting sur le Co-Management depuis la partie Monitoring – Upgrade Readiness – Co-Management. On retrouve notamment le pourcentage de périphériques dans un mode co-géré, la distribution par système d’exploitation, l’état de co-gestion (Azure-AD, Hybrid Azure AD, en échec), la répartition des périphériques par fonctionnalité (stratégies de conformité, Windows Update for Business, etc.).
• Il est maintenant possible de réassigner un point de distribution vers un autre site primaire sans avoir à redistribuer le contenu. Ceci ne fonctionne uniquement si le système de site ne comprend le rôle point de distribution.
• Amélioration de l’inventaire matériel pour que les nouvelles classes ajoutées puissent supporter des propriétés de type chaine de caractères avec une longueur de plus de 255 caractères. Ceci ne s’applique pas aux clés.
• La partie Software Center des paramétrages du client affiche maintenant un espace de prévisualisation du logo et/ou du nom de l’organisation.
• Un nouveau paramétrage du client permet de cacher les applications non approuvées du Software Center. Ainsi, les applications disponibles pour l’utilisateur mais qui requièrent une approbation sont cachées à l’utilisateur.
• Arrivé il y a quelques Previews, la fonctionnalité de création et exécution des scripts PowerShell depuis la console ConfigMgr directement sur des collections se voit améliorée. Il est maintenant possible d’importer des scripts PowerShell signées. Notez qu’il n’est pas possible de copier/coller ce genre de script.

Gestion des paramétrages

• Les stratégies Windows Defender Application Guard proposent deux nouveaux paramétrages d’interaction de l’hôte :
  • Websites can be given access to the host’s virtual graphics processor.
  • Files downloaded inside the container can be persisted on the host.

Gestion des mises à jour logicielles

• Grace aux retours sur UserVoice, il est maintenant possible de planifier des règles de déploiement automatique (ADR) décalée du jour de base. Par exemple, le but est de décaler l’évaluation deux jours après le deuxième mardi du mois.

Plus d’informations sur : https://docs.microsoft.com/en-us/sccm/core/get-started/capabilities-in-technical-preview-1801

Voici le récapitulatif des annonces faites par Microsoft concernant sa plateforme Microsoft Azure.

Parmi les annonces, on retrouve notamment :

General

• Preview des budgets au niveau de l’abonnement via les APIs ARM. L'API budgets vous permet de définir un budget pour un abonnement, ainsi que plusieurs seuils de notification. À titre d'exemple, vous pourriez avoir un abonnement dans lequel vous établissez un budget de 1 000 $ et des notifications de configuration à 25 %, 50 %, 75 % et 100 %. Ces avis seraient déclenchés lorsque vos coûts d'utilisation excèdent 250 $, 500 $, 750 $ et 1 000 $ respectivement.
• Microsoft fait l’acquisition d’Avere Systems pour accélérer l’innovation du traitement haute performance pour les industries média et divertissement. Avere Systems fournit une solution combinant des technologies de caching et de système de fichiers pour améliorer les problématiques de performance.

Azure MarketPlace

• 7 nouvelles offres apparaissent dans l’Azure MarketPlace avec notamment : Heimdall Data SQL Optimization Platform, Luminate Security Connector, Renku Language Detection Engine, BeeGFS Free - Community Support, Elastic Stack on Kubernetes, Quartus® Pro and Intel® FPGA SDK For OpenCL, Wordpress LEMP Max Performance.

Azure Network

• Disponibilité Générale des règles augmentées pour les Network Security Groups. Les Augmented rules simplifient la définition de la sécurité pour les réseaux virtuels, vous permettant de définir des stratégies de sécurité réseau plus vastes et complexes, avec moins de règles. Vous pouvez combiner plusieurs ports, plusieurs adresses IP explicites, des étiquettes de service et des groupes de sécurité d'application en une seule règle de sécurité facile à comprendre.

Azure Security Center

• Public Preview de Security Center adaptive application controls afin d’aider à bloquer des logiciels malveillants et des applications potentiellement non souhaitées en appliquant des listes blanches adaptées au contexte via du Machine Learning.
• Azure Security Center découvre maintenant automatiquement les instances Microsoft Web Application Firewall qui ne sont pas provisionnées avec ASC. Cette intrégration permet d’aider à sécuriser des applications contre des vulnérabilités (SQL Injection, DDoS, cross-site scripting, etc.).
• Preview du support des évaluations de sécurité personnalisées pour Azure Security Center. Ceci permet de personnaliser les règles par défaut ou de créer des règles additionnelles qui correspondent à vos configurations Windows souhaitées.

IaaS

• Disponibilité Générale d’Accelerated Networking pour Windows et Linux. Cette fonctionnalité permet de fournir jusqu’à 30Gbps pour le réseau. AN fournit une latence réseau ultra-faible et constante grâce au matériel programmable d'Azure et à des technologies telles que SR-IOV. En déplaçant une grande partie de la pile réseau définie par le logiciel Azure hors des CPU et dans des SmartNIC, les cycles de calcul sont récupérés par les applications, ce qui allège la charge sur le VM, diminue la gigue et réduit les incohérences de latence. Les séries prises en charge comprennent D/DSv2, D/DSv3, E/ESv3, F/FS, FSv2 et Ms/Mms.

Azure Stack

• Extension de Microsoft Azure IP Advantage à Azure Stack afin de donner les mécanismes de protection d’IP que les Datacenters Microsoft Azure. Le but est de protéger les environnements des IPs non familières via le portefeuille défensif de 10 000 brevets.

Azure Information Protection

• Public Preview de l’intégration entre Azure Information Protection et Cloud App Security permet d’appliquer automatiquement de scanner les fichiers récupérées ou uploadées et d’y appliquer automatiquement une classification pour la protection.
• Mise à jour de la documentation avec :
  • Des exemples sur les capacités fournies par Office 365 Message Encryption et l’utilisation avec les labels AIP.
  • La mise à jour des recommandations sur l’utilisation d’un coffre-fort à clé dédié.
  • Mise à jour à propos de l’affichage de la barre d’information de protection dans les applications Office pour spécifier qu’elle est en Preview et qu’elle nécessite la version Preview du client.
  • Mise à jour pour spécifier le retrait du portail classique et ajout d’une note pour les clients Office 365 US Government afin de spécifier qu’ils ne peuvent utiliser le portail Azure et qu’ils doivent se rabattre sur PowerShell pour gérer les modèles.
  • Suppression de Windows Server 2008 et Windows Vista comme systèmes d’exploitation supportés pour le client RMS. Ceci comprend le non support d’AD RMS.
  • Mise à jour des informations de cycle de vie du support pour spécifier que chaque version du client AIP est supporté pour 6 mois après la publication d’une nouvelle version.
  • Nouveau prérequis pour les machines Windows 7 afin de permettre la classification et la protection de fichiers PDF : Visual C++ Redistributable for Visual Studio 2015 (32-bit version)

Operations Management Suite

Azure Log Analytics

• Nouvelle agent Linux en version 1.4.3-147 avec la correction de bugs et l'apport d'une nouvelle version OMI et SCX.
• Intégration entre Azure HDInsight et Azure Log Analytics pour obtenir les alertes, les éléments de supervision et dépanner vos charges de travail Azure HDInsight..

Azure Backup

• Azure Backup supporte maintenant le chiffrement des machines virtuelles Azure via Bitlocker Encryption Key (BEK) pour les disques gérés ou non. Il est possible de mixer le scénario Key Encryption Key et BitLocker Encryption Key.

Azure Monitor

• Preview d’une nouvelle expérience pour la gestion des alertes dans Azure Monitor. On retrouve notamment une vue consolidée des alertes, une vue consolidée pour voir les règles d’alertes, et une expérience de personnalisation unique et simplifiée.

Azure SQL

• Le niveau de compatibilité 140 est celui par défaut pour Azure SQL Database. 539 903 bases de données Azure SQL Database utilisent déjà ce niveau de compatibilité.
• Nouvelle version de SQL Operations Studio. Pour rappel ces outils sont disponibles depuis Windows, macOS, et Linux pour permettre de gérer SQL Server, Azure SQL DB, et Azure SQL Data Warehouse. Cette version corrige des problèmes et permet de sauvegarder les connexions, de changer la couleur des onglets de l’éditeur SQL, et activer la fonctionnalité qui réouvre les fichiers non sauvegardés.

Azure Analysis Services

• Azure Analysis Services est disponible dans les DataCenters East US, West US 2, USGov-Arizona et USGov-Texas.
• Publication de l’API REST pour Azure Analysis Services. Cette dernière permet d'effectuer des opérations de rafraîchissement de données de manière asynchrone. Il ne nécessite donc pas de connexions HTTP de longue durée de la part des applications clientes.

Azure Data Factory

• Public Preview des outils visuels pour Azure Data Factory v2. L'objectif principal des outils visuels d’ADF est de vous permettre d'être productif avec ADF en mettant en place des pipelines rapidement sans avoir besoin d'écrire une seule ligne de code. Vous pouvez utiliser une interface simple et intuitive sans code pour glisser-déposer des activités sur une toile de pipeline, effectuer des tests, déboguer de manière itérative, déployer et surveiller les exécutions de votre pipeline. On retrouve le support de toutes les activités de flux de contrôle : HDInsight Hive, HDInsight Pig, HDInsight Map Reduce, HDI Streaming, HDI Spark, U-SQL, Stored Procedure, Web, For Each, Get Metadata, Look up, Execute Pipelin, HDI (on-demand, BYOC), ADLA, Azure Batch.
• De nouveaux connecteurs dans Azure Data Factory v2 dont notamment : Amazon Marketplace Web Service (Beta), Azure Database for PostgreSQL, Concur (Beta), Couchbase (Beta), Drill (Beta), Google BigQuery (Beta), Greenplum (Beta), HBase, Hive, HubSpot (Beta), Impala (Beta), Jira (Beta), Magento (Beta), MariaDB, Marketo (Beta), Oracle Eloqua (Beta), Paypal (Beta), Phoenix, Presto (Beta), QuickBooks (Beta), SAP Cloud for Customer (C4C), ServiceNow (Beta), Shopify (Beta), Spark, Square (Beta), Xero (Beta), et Zoho (Beta).
• .

HDInsight

• Baisse de jusqu’à 53% du prix d’Azure HDInsight.
• Baisse de jusqu’à 80% du prix pour R Server pour Azure HDInsight. Ceci réduit le coût à 0.016 par cœur par heure.
• Disponibilité Générale d’Apache Kafka sur Azure HDInsight permettant de construire des solutions d'analyse en temps réel de type entreprise, open-source, telles que l'IoT, la détection des fraudes, l'analyse de flux de clics, l'analyse sociale et plus encore avec le SLA Azure HDInsight à 99,9%.
• Public Preview de l’intégration avec Power BI direct query permettant de créer des rapports dynamiques basés sur les données et métriques que vous avez sur vos clusters Interactive Query dans Azure BLOB store ou Azure Data Lake store.

Azure IoT

• Les extensions IoT pour Azure CLI 2.0 sont disponible et permettent d’interagir avec Azure Resource Manager et les management endpoints..

Autres services

• Les outils Azure Data Lake s’intègrent avec VSCode Data Lake Explorer et les comptes Azure.
• Video Indexer supporte la personnalisation pour la reconnaissance de dialogue automatique avec l’intégration de Microsoft Custom Speech Service.
• Publication des outils de développeurs Time Series Insights (TSI).

Brad Anderson (Corporate Vice President, Enterprise Client & Mobility) a publié une nouvelle vidéo pour faire un bilan sur 2017 et introduire 2018. Configuration Manager a dépassé 100 millions de périphériques. C’est le seul service dans cette situation avec Office 365, Azure Active Directory et Windows Defender. Il présente les nouveautés de décembre et ses prédictions pour l’année 2018.

https://channel9.msdn.com/Series/Endpoint-Zone/The-Endpoint-Zone-with-Brad-Anderson-1801?ocid=player

Microsoft a mis à jour son kit permettant de créer un laboratoire de déploiement et de gestion de Windows 10 pour Microsoft 365. Ce Laboratoire vous permet de gérer Windows 10 Enterprise et Office 365 Pro Plus de manière moderne. Il inclut :

• Windows 10 Enterprise, Version 1709 (Fall Creators Update)
• System Center Configuration Manager, version 1702
• Windows Assessment and Deployment Kit for Windows 10, version 1709
• Microsoft Deployment Toolkit (8443)
• Microsoft Application Virtualization 5.1
• Microsoft BitLocker Administration and Monitoring 2.5 SP1
• Windows Server 2016
• Microsoft SQL Server 2014

On retrouve différentes solutions et scénarios prévus comme :

• Windows Analytics Update Compliance
• Gérer Windows 10 avec Configuration Manager
• Gérer Office 365 ProPlus avec Configuration Manager
• Windows Information Protection
• Windows Defender Advanced Threat Protection
• Windows Defender Application Guard
• Windows Defender Exploit Guard
• Windows Hello
• Credential Guard
• Device Encryption (MBAM)
• Device Guard - User Mode Code Integrity
• Remote Access (VPN)
• Windows Analytics Upgrade Readiness
• Desktop Bridges
• Browser Compatibility
• Windows App Certification Kit
• Application Virtualization

Télécharger Microsoft 365 powered device lab kit

Je vous en parlais il y a quelques semaines, un problème touche Windows 10 1709 et la stratégie visant à désactiver les périphériques Direct Memory Access (DMA) lorsque l’ordinateur est verrouillé. En effet la sécurité de cette dernière a été durcie, ce qui n’a pas été sans conséquence sur certains périphériques où BitLocker était activé.

Microsoft vient de confirmer qu’il travaille sur un correctif qui sera proposé au travers de Windows Update. Dans l’immédiat, il est recommandé de désactiver la stratégie « Disable new DMA devices when this computer is locked ».

Source : https://blogs.technet.microsoft.com/secguide/2018/01/18/issue-with-bitlockerdma-setting-in-windows-10-fall-creators-update-v1709/