Microsoft vient d’annoncer la mise à disposition d’un nouvel ensemble de fonctionnalités pour Microsoft Intune.

Les fonctionnalités suivantes sont ajoutées :

Enregistrement

• [Général] Vous pouvez maintenant créer des restrictions d’enregistrement personnalisés sur le type de périphérique et sur la limite de périphériques pour des groupes d’utilisateur. Le Portail Intune vous permet de créer jusqu' à 25 instances de chaque type de restriction pouvant être affectées à des groupes d'utilisateurs. Les restrictions affectées au groupe annulent les restrictions par défaut. Toutes les instances d'un type de restriction sont gérées dans une liste strictement ordonnée. Cet ordre définit une valeur prioritaire pour la résolution des conflits. Un utilisateur affecté par plus d'une instance de restriction n'est limité que par l'instance ayant la plus haute priorité. Vous pouvez modifier la priorité d'une instance donnée en la faisant glisser vers une autre position dans la liste. Cette fonctionnalité sera disponible avec la migration des paramètres Android for Work du menu Android For Work enrollment vers le menu Enrollment Restrictions. Comme cette migration peut prendre plusieurs jours, le compte peut être mis à niveau pour d'autres parties de la version de novembre avant que l'affectation de groupe ne soit activée pour les restrictions d'affiliation.
• [Android] Microsoft change la façon dont vous pouvez gérer les périphériques Android avec ou sans Android for Work avec Microsoft Intune. Il va devenir de gérer les deux modes indépendamment l’un de l’autre. Vous allez pouvoir :
  • Bloquer l’enregistrement des plateformes indépendamment les unes des autres.
  • Configurer les restrictions de plateforme (Version minimum et maximum, et BYOD) indépendamment pour Android et Android for Work.
  • Les restrictions d’enregistrement liées à Android for Work précédemment présentes dans Device Enrollment – Android for Work Enrollment, seront reportés dans Device Enrollment – Enrollment Restrictions – Device Type Restrictions.

Gestion des périphériques

• [General] Support de la haute disponibilité du connecteur Exchange On-Premises. Vous pouvez maintenant avoir plusieurs rôles Client Access Server (CAS) pour le connecteur Exchange On-Premises. Par exemple, en cas de défaillance du CAS principal, le connecteur Exchange reçoit une requête pour revenir à une autre CAS. Cette fonction garantit que le service n'est pas interrompu.
• [Général] Les administrateurs peuvent maintenant définir des paramètres supplémentaires lors de la création d'un profil SCEP sur les plates-formes Windows, iOS, macOS et Android. Les administrateurs peuvent définir l'IMEI, le numéro de série ou le nom commun.
• [Windows 10 1709+] Lors de la réinitialisation des paramètres d'usine de Windows 10 à partir de la version 1709, les administrateurs peuvent spécifier si l'enregistrement de l'appareil et d'autres données provisionnées sont conservées sur un appareil lors de la réinitialisation d'usine. Les données suivantes sont conservées lors d’une réinitialisation d’usine :
  • Comptes utilisateurs associés à l'appareil
  • Etat machine (joindre domaine, Azure Active Directory-joined)
  • Inscription au MDM
  • Apps OEM installés (applications installées en magasin et Win32)
  • Profil utilisateur
  • Données utilisateur en dehors du profil utilisateur
  • Autologon utilisateur

Les données suivantes ne sont pas conservées :

• • Fichiers utilisateur
  • Applications installées par l'utilisateur (applications stockées et Win32)
  • Réglages de l'appareil sans défaut
• [iOS] Vous pouvez maintenant initier un redémarrage de périphériques supervisés iOS 10.3+ à partir des actions de périphériques. Cette commande demande à ce que le périphérique soit supervisé et qu’il est le droit d’accès Device Lock. Le redémarrage a lieu idéalement. Les périphériques iOS verrouillés par un mot de passe ne se reconnecteront pas au wifi après le redémarrage et ne pourront donc plus communiquer avec le serveur.
• [iOS] Vous pouvez maintenant utiliser le Single Sign-on pour les utilisateurs iOS qui utilisent des applications développées pour regarder les identifiants utilisateurs.
• [iOS] Vous pouvez maintenant voir si les périphériques iOS ont l’Activation Lock activé. Cette fonctionnalité se trouvait auparavant dans l'Intune du portail classique.
• [macOS] Vous pouvez verrouiller un périphérique macOS perdu et définir un code PIN de récupération à 6 chiffres. Lorsqu'elle est verrouillée, la tuile Device overview affiche le code PIN jusqu' à ce qu'une autre action de l'appareil soit envoyée.
• [macOS] Dès le début de l'année 2018, Jamf enverra les informations d'état des périphériques macOS à Intune, qui les évaluera ensuite pour s'assurer de leur conformité avec les politiques définies dans la console Intune. En fonction de l'état de conformité des périphériques et d'autres conditions (telles que l'emplacement, le risque utilisateur, etc.), l'accès conditionnel renforcera la conformité pour les périphériques macOS accédant au cloud et aux applications sur site liées à Azure AD, y compris Office 365.

Configuration des périphériques

• [Général] Support de plusieurs connecteurs Network Device Enrollment Service (NDES).
• [Windows 10] Le service Windows Defender Advanced Threat Protection (WDATP) permet aux administrateurs de gérer la fréquence des rapports pour les périphériques gérés. Grâce à la nouvelle option Expedite de fréquence des rapports de télémétrie, WDATP collecte des données et évalue les risques plus fréquemment. Le reporting par défaut optimise la rapidité et les performances. L'augmentation de la fréquence de collecte peut être utile pour les périphériques à risque élevé. Ce paramètre se trouve dans le profil ATP de Windows Defender dans les configurations de périphérique.

Gestion des applications

• [General] Le rapport App install status pour chaque application affiche maintenant le nombre d’installation en cours pour les utilisateurs et périphériques
• [Général] Les applications gérées par le SDK d'Intune App peuvent envoyer des messages SMS.
• [iOS] Intune collecte des informations d'inventaire d'applications à partir de périphériques personnels ou appartenant à l'entreprise et les met à la disposition des fournisseurs de services Mobile Thread Detection (MTD) (tels que Lookout for Work) pour qu'ils puissent les récupérer. Vous pouvez collecter un inventaire d'applications auprès des utilisateurs de périphériques iOS 11 ou plus.
• [Android] Support de Google Play Protect avec Android Oreo. Google présente une suite de fonctions de sécurité appelées Google Play Protect qui permettent aux utilisateurs et aux entreprises d'exécuter des applications sécurisées et de sécuriser les images Android. Intune prend en charge les fonctionnalités Google Play Protect, y compris l'attestation à distance SafetyNet. Les administrateurs peuvent définir des règles de conformité qui exigent que Google Play Protect soit configuré et sain. Le paramètre d'attestation SafetyNet exige que le périphérique se connecte à un service Google pour vérifier que le périphérique est en bonne santé et qu'il n'est pas compromis. Les administrateurs peuvent également définir un paramètre de profil de configuration pour Android for Work afin d'exiger que les applications installées soient vérifiées par les services Google Play. L'accès conditionnel peut empêcher les utilisateurs d'accéder aux ressources de l'entreprise si un périphérique n'est pas conforme aux exigences de Google Play Protect.

Supervision et Dépannage

• [Général] L’espace Troubleshoot affiche maintenant les problèmes d’enregistrement utilisateurs. Les détails à propos des problèmes et les étapes de remédiation suggérées peuvent aider les administrateurs et le support à dépanner les problèmes. Néanmoins, certains problèmes d’enregistrement ne sont pas capturés et des erreurs peuvent ne pas avoir de suggestion de remédiation.
• [Général] L'audit Intune fournit un enregistrement des opérations de changement liées à Intune. Toutes les opérations de création, de mise à jour, de suppression et d'exécution à distance des tâches sont saisies et conservées pendant un an. Le portail Azure fournit une vue des 30 derniers jours de données d'audit dans chaque espace. Ceci est filtrable. Une API graphique correspondante permet de récupérer les données d'audit stockées pour l'année précédente.
• [Windows 10] Dans l’espace Troubleshoot, pour l'utilisateur que vous visualisez, vous pouvez voir toutes les affectations des rings de mise à jour de Windows 10.

Plus d’informations sur : https://docs.microsoft.com/en-us/intune/whats-new

Microsoft propose un webcast le 12 décembre à 22h (heure française) sur Windows Server et Microsoft Azure. Ce webcast présenté par Jeff Woolsey abordera :

• L’intégration des environnements Windows Server On-prem avec des capacités hybrides comme la sauvegarde et le stockage
• La migration aisée des applications et charges de travail sur Windows Server dans Azure.
• Sécuriser et gérer à la fois les applications Windows et Linux exécutés sur Windows Server dans Azure à travers un environnement hybride
• Utiliser les licences Windows Server existantes pour Azure.

S’enregistrer sur : https://info.microsoft.com/ww-landing-windows-server-on-azure-live.html

Microsoft a publié la Release Candidate de PowerShell Core 6. Cette version est proposée comme une solution OpenSource cross-plateforme. Le but est d’adresser des besoins et changements demandés par les clients dans des délais plus courts que ce qui a été le cas avec Windows PowerShell. La disponibilité générale est attendue pour le 10 janvier 2018.

Pour rappel, Microsoft a renommé l’exécutable PowerShell en pwsh.exe pour PowerShell Core 6. Les versions précédentes et les extensions de fichiers ne sont pas impactées.

Plus d’informations sur : https://blogs.msdn.microsoft.com/powershell/2017/11/17/powershell-core-6-release-candidate/

Télécharger v6.0.0-rc release of PowerShell Core

Microsoft vient de publier une mise à jour (KB4050936) à Microsoft Identity Manager 2016 SP1. Ceci amène le produit à la version 4.4.1749.0. Ce package corrige 31 bugs.

Pour rappel, ce produit permet d’automatiser des tâches clés comme :

• Le provisionnement et la synchronisation des identités à travers des annuaires et systèmes hétérogènes
• Implémenter des workflows IAM
• La gestion du cycle de vie des certificats et smartcards
• La gestion des accès basés sur des rôles
• Les tâches en libre-service (réinitialisation de mots de passe, gestion des groupes…)

Il existe plusieurs problèmes connus qui peuvent survenir après cette mise à jour : https://support.microsoft.com/en-us/help/4050936/hotfix-rollup-package-build-4-4-1749-0-is-available-for-microsoft

Télécharger Update for Microsoft Identity Manager 2016 SP1 (KB4050936)

Microsoft a publié une référence technique pour l’implémentation de la BI d’entreprise et le reporting. L’article résume les différentes technologies et les implications associées. Ces informations restent un bon référentiel pour les architectes Microsoft Azure.

Vous pouvez lire le détail sur :

• GitHub
• Cortana Intelligence Gallery

Source : https://azure.microsoft.com/en-us/blog/technical-reference-implementation-for-enterprise-bi-and-reporting/

Forrester a publié son rapport sur les solutions Cloud d’entreprise de partage et de synchronisation de fichiers. Microsoft ressort avec Box, Google et Citrix parmi les leaders du marché. Dropbox, Egnyte, Axway (Syncplicity), et IBM sont les concurrents qui suivent.

Il est à noter que Microsoft offre une suite collaborative complète et vise une interface graphique cohérente. Microsoft offre des fonctionnalités de productivité, de partage de fichiers et de gestion de contenu qui sont de plus en plus optimisées par les services de contenu cognitif. Microsoft aide ses clients à migrer à partir de leurs systèmes sur site grâce à son programme FastTrack; les clients admissibles peuvent transférer des fichiers sans frais. Files on Demand permet aux utilisateurs d'accéder aux documents stockés dans les nuages via des interfaces bureautiques.

 Lire le rapport de Forrester

Plus d’informations sur : https://blogs.office.com/en-us/2017/12/06/microsoft-onedrive-recognized-as-a-forrester-wave-leader-in-enterprise-file-sync-and-share/?eu=true

Microsoft vient de mettre à jour (7.5.7487.89) le Management Pack (MP) System Center 2012 Operations Manager (SCOM) pour System Center Service Manager 2012 R2 et 2016. Cette version apporte le support complet de TLS 1.2. Pour rappel, System Center Service Manager (SCSM) permet de gérer les scénarios suivants : Gestion des incidents, Gestion du cycle de vie des ressources, Portail en self-service pour les utilisateurs, Gestion du changement, Gestion des immobilisations, Base de connaissances pour le support, Base de gestion de configuration.

Ce management pack apporte les fonctionnalités suivantes :

• Supervision du service System Center Data Access
• Supervision du service System Center Configuration Management
• Supervision des comptes d’exécution du Health service
• Supervision des Workflows

Référez-vous au guide pour connaître les étapes d’implémentation 

Télécharger Microsoft System Center Management Pack for System Center Service Manager

Si vous avez mis à niveau votre infrastructure System Center Configuration Manager vers la version 1710, vous avez peut-être observé un changement dans l’inventaire matériel. En effet, la classe Win32_LogicalDisk renvoie maintenant l’espace disque disponible en Gigabytes au lieu de Megabytes auparavant. L’impact est principalement au niveau des rapports ou autres routines que vous auriez pu créer.

En outre, il est à noter que pour l’instant que le nom et la description du rapport « Computers with low free disk space (less than specified MB free) » n’a pas été changé pour spécifier ce changement.

A peine mise à disposition, Microsoft vient de mettre à disposition les drivers et firmwares pour Windows 10 pour la Surface Pro LTE.

Télécharger Surface Pro LTE Drivers and Firmware

Microsoft va proposer un événement de questions/réponses sur Microsoft Azure Stack. Cet évènement aura lieu ce jeudi 7 Septembre de 17h à 18h (heure française). Ask Microsoft Anything est une belle opportunité pour poser des questions sur Azure Stack.

Pour suivre la session, rendez-vous sur : https://www.reddit.com/r/AZURE/

Microsoft a mis à jour plusieurs outils SysInternals parmi lesquels :

• Sysmon v6.20 permet de superviser l’activité système. Microsoft a ajouté la capacité de changer les noms du driver et service Sysmon afin de bluffer les logiciels malveillants qui essayent de détecter sa présence.
• AccessChk v6.20 permet de vérifier les permissions d’utilisateurs ou de groupes aux différentes ressources (dossiers, fichiers, registres, etc.). Cette version corrige un problème qui pouvant engendrer un crash lors de la vérification des accès effectifs d’un compte.
• Sigcheck v2.60 est un utilitaire en ligne de commande qui affiche le numéro de version du fichier, les informations d'horodatage et les détails de signature numérique, y compris les chaînes de certificats. Cette version corrige les bugs de signature et d'horodatage du catalogue, et ne tronque plus les noms d'éditeurs qui incluent des virgules.
• Whois v1.20 effectue l'enregistrement pour le nom de domaine ou l'adresse IP que vous spécifiez. Il a été mis à jour pour fonctionner avec les redirections du serveur de registre Whois.

Si vous utilisez System Center Configuration Manager et les outils de prise en main à distance (Remote Control), vous pouvez rencontrer un problème de curseur lors de la prise en main. Ce problème survient pour une machine avec plusieurs écrans dont ils ont un paramétrage de résolution différent. Deux solutions sont possible

• Sur le système, vous pouvez cocher l’option “Let me choose one scaling level for all my displays”. Le problème survient quand elle est désactivée.
• Vous pouvez aussi sur le client Remote Control décocher l’option Scale to Fit dans le menu correspondant.

Si vous avez creusé la gestion des périphériques Surface Hub en mode moderne avec Microsoft Intune, vous avez surement dû faire face à des problèmes pour l’enregistrer à la fois dans Azure Active Directory et Microsoft Intune. Si votre Surface Hub exécute la version 1703 (Creators Update), vous pouvez utiliser la solution suivante :

1. Créer un package de provisionnement (PPKG) en sélectionnant « Use Azure Active Directory» dans Set Up Device Admins et en validant que l’option Enroll in device management est à No.
2. Dans le portail Azure Active Directory, validez que l’enregistrement dans Azure Active Directory engendre l’enregistrement automatique dans Microsoft Intune. Pour cela, naviguez dans Azure Active Directory – Mobility (MDM and MAM). Choisissez Microsoft Intune puis validez que l’étendue d’utilisateur MDM soit à « All »
3. Lors de la phase OOBE, branchez la clé USB et suivez les indications à l’écran.
4. Après coup, le Surface Hub sera enregistré dans Microsoft Intune et Azure Active Directory.

Cette solution a un inconvénient puisqu’elle casse le mécanime de Single Sign-On (SSO). Microsoft travaille sur une solution plus aisée pour les versions suivantes.

Si vous avez été dans les premiers à passer votre infrastructure vers System Center Configuration Manager 1710 via le canal Fast Ring, vous avez pu rencontre un problème avec les nouvelles personnalisations du Software Center.

Le problème peut survenir lorsque vous modifiez la section Software Center des paramétrages du client (Client Settings). Si vous spécifiez des caractères spéciaux tels que & ou _ dans le nom de l’entreprise (Company Name) ou dans le nom du fichier utilisé pour charger le logo de l’entreprise. Le problème peut aussi survenir si vous spécifiez la couleur blanche (#FFFFF) comme fond.

Ceci empêche un problème d’application de la stratégie associée sur les machines ciblées. Le problème est dû soucis d’encodage des données renseignées.

Microsoft travaille sur la correction du problème pour la phase de déploiement généralisée de System Center Configuration Manager 1710.

Microsoft vient de communiquer au travers du centre de messages Office 365 à propos du problème de message Windows Hello pour Windows 10 1709 (Fall Creators Update) dont je vous parlais très récemment. Je vous avais dis qu’une des solutions de contournement était de créer une stratégie qui désactive Windows Hello. Le message IT125479 explique qu’un problème est présent dans cette version de Windows 10 et que Microsoft a temporairement supprimé la configuration de l’écran sur l’état de l’enregistrement (Enrollment Status Screen) pour Windows AutoPilot. Le problème concernait les périphériques enregistrés avant la date du 30 novembre 2017.

Avec le changement, les nouveaux périphériques Windows 10 1709 enregistrés après le 30 novembre 2017, ne recevront plus de fenêtre demandant la création d’un code PIN pour Windows Hello.

Pour les périphériques enregistrés avant cette date, vous devez mettre en place des solutions de contournement :

1. Pour supprimer le PIN, vous devez télécharger les commandes à partir de l’adresse suivante. Vous pouvez exécuter les commandes suivantes dans le contexte de l’utilisateur
   • Set-ExecutionPolicy RemoteSigned
   • Install-Module -Name Microsoft.WindowsPassportUtilities.Commands
   • Remove-PassportContainer –CurrentUser
2. Si l’utilisateur a configure une empreinte digitale ou faciale, il n’est pas possible de les supprimer par ligne de commande. Vous devez alors demander à l’utilisateur d’aller dans Settings – Accounts – Sign In Options et supprimer les identifications faciale ou digitale.
3. Si l’utilisateur a mis à jour son périphérique vers Windows 10 1709 mais ne s’est pas connecté depuis, il peut alors être notifié de la configuration du PIN Windows Hello. Vous devez alors supprimer le dossier %programdata%\Microsoft\DMClient

Vous pouvez obtenir plus d’informations dans l’Office Message Center.

Microsoft vient de publier une nouvelle application (10.0.1) du client Remote Desktop pour Mac. Cette version apporte une nouvelle interface graphique, une amélioration de la gestion des connexions et de nouvelles fonctionnalités dans la session à distance. La version apporte aussi :

• Redirection du microphone locale
• Redirection des Smart Cards. Néanmoins, il n’est pas possible de rediriger la smart card pour une connexion à la machine distance.
• Vous pouvez maintenant utiliser les raccourcis claviers macOS pour couper/copier et coller dans la session à dsitance.

Microsoft recommande de garder la version 8.0.43 de Remote Desktop pour migrer vos données de connexion vers la nouvelles version 10.0.1 de l’application. Vous pouvez pour cela utiliser la fonction Import Connections.

Plus d’informations sur : https://cloudblogs.microsoft.com/enterprisemobility/2017/11/28/new-remote-desktop-app-for-macos-available-in-the-app-store/

Tester le client Remote Desktop pour Mac

Nathan Mercer et Michael Niehaus (MSFT) vont proposer un webcast et un événement de questions/réponses. Le webcast aura lieu le mardi 5 décembre de 19h à 20h (heure française). La session de questions/réponses aura lieu le mardi 12 décembre de 18h à 19h (heure française). Ask Microsoft Anything est une belle opportunité pour poser des questions sur Microsoft 365 et la gestion moderne de Windows 10 avec une réponse directe.

S’inscrire au Webcast 

Vous devez être membre de Tech Community pour poster vos questions via l’adresse : https://aka.ms/microsoft365-ama

Pour s’inscrire : https://techcommunity.microsoft.com/t5/Windows-10/ct-p/Windows10

Source : https://blogs.technet.microsoft.com/windowsitpro/2017/11/14/dec-5th-embrace-modern-it-with-the-microsoft-365-powered-device/

MISE A JOUR : Microsoft a temporairement corrigé le problème en retirant la fonctionnalité de gestion de l'écran de l'état d'enregistrement.

Depuis quelques jours vous avez peut-être pu constater que les utilisateurs dont la machine Windows 10 est gérée de manière moderne par Microsoft Intune, se voient forcer la configuration d’un code PIN.

Si vous vérifiez, vous n’avez pas de stratégie de configuration de Windows Hello for Business. Il semble qu’il y ait eu un changement dans le moteur de Microsoft Intune. En attendant plus de détails, vous devez configurer la stratégie Windows Hello for Business par défaut à Disabled.

Ouvrez le portail Microsoft Azure et naviguez dans Intune – Device enrollment – Windows enrollment – Windows Hello for Business. Sélectionnez la stratégie par défaut et dans la partie Settings, changez la valeur de Not Configured à Disabled.

Lors de la mise à jour du service en Novembre, Microsoft va changer la façon dont vous pouvez gérer les périphériques Android avec ou sans Android for Work avec Microsoft Intune. Il va devenir de gérer les deux modes indépendamment l’un de l’autre. Ceci va engendrer des changements dans la cinématique d’enregistrement. Vous serez informé du changement sur votre tenant par le biais du portail Office 365 Message Center.

Vous allez pouvoir :

• Bloquer l’enregistrement des plateformes indépendamment les unes des autres.

• Configurer les restrictions de plateforme (Version minimum et maximum, et BYOD) indépendamment pour Android et Android for Work.
• Les restrictions d’enregistrement liées à Android for Work précédemment présentes dans Device Enrollment – Android for Work Enrollment, seront reportés dans Device Enrollment – Enrollment Restrictions – Device Type Restrictions.

Par défaut, les paramétrages migrés d’Android for Work seront similaires à ceux qui étaient appliqués aux configurations globales d’Android. Après le changement des paramétrages Android For Work, si vous bloquez l’enregistrement des périphériques personnels à Android for Work, seulement les périphériques Android dits d’entreprise pourront s’enregistrer dans Android for Work.

Si vous n’avez jamais enregistré de périphériques Android for Work, la plateforme est bloquée par la stratégie de restriction par défaut. Vous pouvez alors changer la stratégie par défaut ou créer une nouvelle stratégie Device Type Restriction.

Si vous avez enregistrés des périphériques Android for Work, la situation dépend du paramètre :

• Paramètre configuré avec Manage all devices as Android, la stratégie de restriction par défaut est configurée à Blocked pour Android for Work.
• Paramètre configuré avec Manage supported devices as Android for Work, la stratégie de restriction par défaut est configurée à Allowed pour Android for Work.
• Paramètre configuré avec Managed supported devices for users only in these groups as Android for Work, la stratégie de restriction par défaut est configurée à Blocked pour Android for Work. Une stratégie Device Type Restriction supplémentaire est créée pour définir le groupe que vous aviez précédemment indiqué.

Source : https://blogs.technet.microsoft.com/intunesupport/2017/11/07/managing-android-for-work-devices-independently-in-the-intune-console/

Microsoft simplifie la façon de configurer les stratégies d’Accès Conditionnel (CA). Auparavant, vous pouviez configurer les stratégies d’accès conditionnel dans le portail Silverlight, à travers la partie Intune App Protection ou à travers de l’ancien portail Azure classique dans la partie Azure AD. A partir de Janvier, il ne sera possible de configurer les stratégies que via le nouveau portail Azure dans la partie Azure Active Directory.

Les stratégies que vous avez configuré via le portail Silverlight Intune ou via Intune App Protection seront bientôt en lecture seul. Elles pourront être visibles via une nouvelle tuile « Classic Policies » dans la partie Conditional Access d’Azure Active Directory du nouveau portail.

Microsoft recommande les éléments suivants :

• Arrêter d’utiliser/créer des stratégies via les anciens modes et de privilégier le nouveau portail via Azure Active Directory – Conditional Access.
• Demander le rôle Conditional Access à l’administrateur de votre tenant Azure Active Directory pour pouvoir accéder à cette partie et continuer de pouvoir administrer les stratégies d’accès conditionnel.
• Transformer vos stratégies d’accès conditionnel vers les nouvelles stratégies dans Azure Active Directory – Conditional Access. Les stratégies peuvent coexister mais vous devez savoir que la stratégie la plus restrictive, s’applique.

Plus d’informations sur : https://blogs.technet.microsoft.com/intunesupport/2017/11/16/support-tip-conditional-access-policies-for-intune-will-now-be-available-in-azure-active-directory/

L’équipe BornToLean a publié un billet concernant les périodes de Beta-testing des certifications. En effet, il s’avère que Microsoft fait face à un nombre important d’utilisateurs qui planifie le passage mais ne se présente pas à l’examen. Dans ce cas de figure, les opportunités de passage sont perdues et ne permettent pas à Microsoft d’obtenir les retours suffisants pour valider l’examen.

De ce fait, Microsoft change les conditions d’accès à ces examens. Auparavant, un voucher permettait le passage gratuitement. A partir de maintenant, Microsoft offrira un discount de 80% laissant 20% à la charge du candidat. A titre compensatoire si vous vous présentez à l’examen bêta, vous obtiendra 25% de réduction sur un futur examen passé dans l’année.

Ceci est notamment le cas pour la certification 537: Configuring and Operating a Hybrid Cloud with Microsoft Azure Stack et celles qui suivront.

Source : https://borntolearn.mslearn.net/b/weblog/posts/updates-on-microsoft-beta-exam-program-read-this

Comme Windows 10, Windows Server a son programme Windows Insiders. Microsoft a publié la Build 17035 de Windows Server. Pour rappel, Windows Server embrasse maintenant le concept as-a-Service déjà appliqué à Windows 10 et Office 365. On retrouve deux canaux de diffusions : Long-Term Servicing Channel (LTSC) et Semi-annual Channel. LTSC est l’équivalent des versions de Windows Server que l’on a connu jusqu’alors. Le canal Semi-annual Channel proposera deux versions par an, chacune supportée pour une durée de 18 mois. Ces versions seront publiées en Mars et Septembre de chaque année avec la nomenclature déjà connue AAMM (exemple 1803 pour Mars 2018). Seuls Nano Server et Server Core font partie du cycle continu Semi-annual Channel.

Windows Server Build 17035 comporte les nouveautés suivantes :

• Corrections de bugs.
• Storage Spaces Direct est intégré pour validation et retour.
• La déduplication de données peut aussi être utilisée pour Storage Spaces Direct et ReFS.
• On retrouve une nouvelle version de l’interface graphique Project “Honolulu” technical preview 1711 build 01003. Cette dernière permet notamment le support de la gestion de Windows 10 par une solution Computer Management. Elle apporte un outil Remote Desktop pour se connecter directement aux machines cibles. Enfin elle comporte des corrections de bugs et une amélioration des performances.

Pour obtenir la Preview de Windows Server, Microsoft recommande l’utilisation du programme Windows Insiders.

Source : https://blogs.technet.microsoft.com/windowsserver/2017/11/15/windows-server-preview-build-17035-available-for-windows-insiders/

Microsoft s’est associé avec TeamViewer, le leader dans les solutions de prise en main. C’est une problématique commune à toutes les entreprises visant à assurer le support à distance via des outils adaptée. La solution Teamviewer s’intègre donc à Microsoft Intune pour permettre la prise en main des périphériques Android, Windows 10 et Windows 10 Mobile. La solution vient en sus de Microsoft Intune sous la forme d’une licence supplémentaire.

La solution de TeamViewer offre les fonctionnalités suivantes :

• Chat avec l’utilisateur.
• Transfert de fichiers.
• Tableau de bord du périphérique présentant les informations globales (CPU, RAM, Batterie, fabricant, numéro de série, WiFi, Stockage, Bluetooth, etc.)
• Prise en main à distance
• Capture d’écran
• Inventaire des applications installées.
• Désinstallation à distance des applications installées
• Processus en cours d’exécution
• Gestion des paramétrages dont les réseaux WiFi (Ajout, etc.)

Aujourd’hui, la solution est disponible uniquement pour les périphériques Android, Windows 10, et Windows 10 Mobile. Elle est aussi disponible pour les PCs gérés avec le client Intune (en opposition à ceux gérés de manière moderne via l’agent MDM).

Les modèles Android supportés sont indiqués sur la page : Supported manufacturers for remotely controlling Android devices

Le but de cette série d’articles est de faire un tour d’horizon de l’intégration entre Microsoft Intune et TeamViewer avec les phases de mise en œuvre et d’exploitation :

• Intégration avec TeamViewer : configurations préliminaires du tenant
• Intégration avec TeamViewer : Prise en main de périphériques Android
• Intégration avec TeamViewer : Prise en main de périphériques Windows 10 (à venir)

Avant de démarrer, vous devez disposer d’un abonnement Microsoft Intune. A date d’écriture de cet article (Octobre 2017), TeamViewer s’intègre uniquement à une configuration Microsoft Intune en mode autonome.

Déploiement de l’application TeamViewer QuickSupport sur les périphériques Android

De manière à pouvoir prendre la main sur le périphérique tout en facilitant la vie de l’utilisateur (afin qu’il n’ait pas à télécharger lui-même l’application), vous devez déployer les applications TeamViewer QuickSupport et Host sur les périphériques Android.

Pour tous les périphériques Android :

• TeamViewer QuickSupport
• TeamViewer Host permet de se connecter à un périphérique même si ce dernier n’est pas utilisé.

Pour Samsung, vous devez utiliser

• QuickSupport for Samsung.
• Host for Samsung permet de se connecter à un périphérique même si ce dernier n’est pas utilisé.

Deux solutions s’offrent à vous :

• Déployer via le Google Play Store pour tous types de périphériques.
• Déployer via le Google Play Store for Work pour des périphériques gérés via Android for Work.
• Déployer les sources APK individuellement via le site Web.

La méthode va déprendre de la façon dont vous gérez vos périphériques.

Déploiement de manière traditionnelle

Dans le portail Azure, naviguez dans Microsoft Intune – Mobile Apps – Apps, cliquez sur Add. Sur l’écran suivant, choisissez le type d’application Android store App puis renseignez les informations (nom, description, éditeur, URL de l’Application et version minimale du système d’exploitation) :

Une fois l’application créée, choisissez un groupe de périphérique contenant les périphériques Android et choisissez un type de déploiement Required.

Répétez l’opération pour TeamViewer Host.

Déploiement via Android for Work

Avant de pouvoir déployer des applications via Android for Work, vous devez avoir configuré la fonctionnalité et enregistré les périphériques dans ce mode de fonctionnement. Ceci est une prérequis à la suite de cette partie.

Ouvrez le portail Google Play for Work et cherchez l’application TeamViewer QuickSupport. Approuvez l’application et configurez les paramètres d’approbation concernant les nouvelles demandes d’autorisation :

Répétez l’opération pour TeamViewer Host.

Dans le portail Azure, attendez la synchronisation ou forcez en naviguant dans le service Microsoft Intune – Mobile Apps – Android for Work. Cliquez sur Sync.

En naviguant dans Microsoft Intune – Mobile Apps – Apps, vous voyez apparaître l’application dans la liste. Vous pouvez ensuite la déployer à votre convenance.

Prise en main du périphérique Android et Expérience Utilisateur

Côté opérateur

Pour prendre en main le périphérique Android, l’opérateur doit se connecter au portail Azure puis naviguer dans Microsoft Intune – Devices – All Devices. Il doit ensuite cibler le périphérique Android en cliquant dessus. Il doit ensuite cliquer sur le bouton ... More puis New Remote Assistance Session :

Une fenêtre visant à confirmer la session d’assistance à distance s’ouvre. Cliquez sur Yes.

Pendant quelques minutes, le service initie la session puis la page se met à jour avec un lien vous permettant de lancer l’assistance à distance :

Une fenêtre Teamviewer s’ouvre et vous propose de télécharger l’outil.

Côté utilisateur

Ce dernier doit lancer le portail d’entreprise dans lequel il retrouve une notification lui indiquant qu’une session d’assistance à distance a été initiée par l’administrateur.

Il doit alors cliquer sur la notification et l’ouvrir avec l’application QuickSupport associée. Une fois l’application ouverte, il doit autoriser explicitement la prise de contrôle.

L’interface permet à l’utilisateur de dialoguer avec l’opérateur. Vous pouvez observer le petit œil dans la barre qui indique que le partage d’écran est effectif.

Retour côté opérateur

Lorsque le partage est effectif, l’opérateur peut dialoguer avec l’utilisateur par Chat. Il a aussi accès à de nombreuses fonctions. Il peut par exemple effectuer un transfert de fichiers vers le périphérique.

Il retrouve en premier lieu un tableau de bord avec :

• Le CPU (usage + fréquence),
• La mémoire (usage + taille)
• La batterie (usage + Temperature)
• Le stockage (Taille + Usage)
• Les informations du matériel (fabricant, modèle, numéro de série, la résolution)
• Les informations du système d’exploitation (Version, langue, IMEI, UUID)
• Les informations réseaux (WiFi et Bluetooth)

Un onglet Application liste toutes les applications installées avec la version, la taille et la date d’installation :

Un autre onglet (Settings) permet de voir les applications en cours d’exécution.
Un espace permet de voir les différents réseaux WiFi enregistrés.

Enfin, on retrouve deux onglets permettant le contrôle à distance et Capture d’écran :

L’opérateur peut alors interagir avec la souris. Il retrouve une barre intégrée permettant d’avoir accès aux trois boutons : Previous, Home, et Navigation.

Note : La capacité de pouvoir utiliser le contrôle à distance dépend du périphérique et du système d’exploitation.

Tout comme pour Windows Server, Windows et System Center Configuration, Microsoft propose à SaaSifié la gamme System Center. Ainsi on retrouve la Technical Preview 1711 pour les produits Datacenter de la suite System Center. La Technical Preview disponible au format VHD pour le grand public.

Voici les nouveautés :

Général

• Support de Windows Server 1709 afin notamment de permettre la supervision et la gestion de l’hôte, la configuration de réseaux virtuels SDN chiffrés, la configuration de machines virtuelles Linux protégées (Shielded) et de la protection via la sauvegarde.
• Support de TLS 1.2.
• Corrections de bugs.

Virtual Machine Manager

• Avec le composant additionnel Virtual Machine Manager, vous pouvez gérer les machines virtuelles Azure ARM, Azure Active Directory et plus de régions (Azure China, US Government et Germany)
• Support de fonctionnalité Windows Server 2016 additionnelles dans Virtual Machine Manager avec :
  • La virtualisation imbriquée
  • La configuration du load balancer software.
  • Les paramétrages de stratégie et de configuration de la QoS de stockage.
  • La migration de machines virtuelles UEFI VMware vers des machines virtuelles Hyper-V.
• Support de SLB Guest cluster floating IP
• QoS du stockage pour VMM Cloud
• Extension de la QoS de stockage pour le stockage SAN
• Le mode Enhanced Session permet de faire du Remote to VMs
• Mise à jour simplifiée pour les agents des hôtes en Workgroup.
• Support de la bascule HGS pour les machines virtuelles protégées (Shielded VM)
• Le rafraichissement de l’hôte a été rendu 10 fois plus rapide.

Operations Manager

• Intégration de Service Map d’Operations Manager avec les applications distribuées afin de voir les dépendances déduites d’application, serveurs, et réseau depuis Service Map.
• La supervision Linux dans Operations Manager permet de faire de la supervision granulaire de fichiers de journalisation en utilisant l’agent personnalisable Linux basé sur FluentD.
• Amélioration de l’expérience de la console Web de SCOM avec le passage complet en HTML5 pour permettre le support par tous les navigateurs, des Widgets inclus et personnalisables.
• Le support de Kerberos pour Linux.
• Amélioration du temps de réponse de l’interface de la console avec nombre important de Management Packs.
• Une fonctionnalité pour suivre les mises à jour et recommandations pour les Management Packs tiers.

Data Protection Manager

• Utilisation de la technologie de stockage de sauvegarde moderne (Modern Backup Storage) dans Data Protection Manager pour sauvegarder des machines virtuelles VMware encore plus rapidement tout en réduisant le coût du stockage.

 Service Manager

• Intégration de Service Manager avec Azure Action Groups afin de paramétrer la création automatique d’incidents à partir d’alertes sur des ressources Azure ou non-Azure.

Plus d’informations sur : https://cloudblogs.microsoft.com/hybridcloud/2017/11/08/preview-of-first-system-center-semi-annual-channel-release-now-available/

Télécharger :

• System Center Technical Preview 1711
• System Center Service Manager Preview, version 1711 – Evaluation (VHD)
• System Center Operations Manager Preview, version 1711 – Evaluation (VHD)
• System Center Orchestrator Preview, version 1711 – Evaluation (VHD)
• System Center Data Protection Manager Preview, version 1711 – Evaluation (VHD)
• System Center Virtual Machine Manager Preview, version 1711 – Evaluation (VHD)

Microsoft vient de mettre à disposition la version finale (5.00.8577.1000) de System Center Configuration Manager 1710. ConfigMgr a subi une refonte de sa structure pour permettre des mises à jour aisées de la même façon que l’on peut le voir avec Windows 10. C’est pourquoi la fonctionnalité Updates and Servicing (nom de code Easy Setup) a été introduite. Vous devez donc utiliser cette dernière pour mettre votre site System Center Configuration Manager 1706. Si vous utilisez System Center 2012 Configuration Manager, vous devez mettre à jour votre site vers System Center Configuration Manager 1702 avant de pouvoir passer à cette version.

Note : Un script PowerShell est disponible pour permettre d’opter pour la première vague de déploiement.

System Center Configuration Manager 1710 comprend les nouveautés suivantes :

Administration

• Support de Windows 10 1709.
• Support des périphériques Windows 10 ARM64 pour la gestion moderne via Microsoft Intune en mode hybride. Ceci inclut l’enregistrement du périphérique, l’effacement sélectif ou complet, la gestion des paramétrages et de la conformité, la configuration des ressources de l’entreprise (Certificats, VPN, Wi-Fi, Email), la configuration des stratégies Windows Hello for Business, et la gestion des applications.
• Annoncé au Microsoft Ignite 2017, cette version inclut le Co-Management pour les périphériques Windows 10. Cette fonctionnalité permet de gérer des périphériques Windows 10 à la fois avec le client ConfigMgr mais aussi en mode moderne avec Microsoft Intune (Standalone). Vous pouvez ainsi choisir quelles sont les fonctionnalités que vous souhaitez gérer avec quel mode (traditionnel ou moderne). Pour l’instant, vous pouvez gérer les stratégies de conformité et les stratégies Windows Update for Business.
  Il vous faudra les prérequis suivants :
  • Azure AD Premium P1
  • Des licences EMS ou Intune pour les utilisateurs.
  • Des clients Windows 10 1709 (Fall Creators Update).
  • Des clients joints en mode hybride à Active Directory et Azure Active Directory.

• Une fonctionnalité qui permet de gérer les redémarrages des clients en obtenant l’état de redémarrage depuis la console et en lançant une action cliente de redémarrage. Le redémarrage utilise l’API du client ConfigMgr et affiche donc une fenêtre de notification.

• La fonctionnalité d’exécution des scripts (Run Scripts) se voit améliorer avec notamment :
  • L’arrivée de la délégation via les étendues de sécurité
  • La supervision en temps réel de l’exécution du script
  • Les paramètres sont intégrés dans l’assistant de création du script afin d’apporter la validation et l’identification des paramètres optionnels et obligatoires.

• Il est possible d’ajouter des éléments de personnalisation de l’entreprise au Software Center comme le nom de l’entreprise, le thème de couleur, le logo de l’entreprise ou la visibilité des onglets. Cette configuration se fait depuis les paramétrages du client.

• Lorsque vous configurez le niveau de télémétrie avec les paramétrages du client, vous pouvez utiliser un nouveau niveau appelé Enhanced (Limited) à partir de Windows 10 1709. Celui-ci ne permet d’envoyer que les éléments de base ainsi que les éléments nécessaires à Windows Analytics Device Health.

• Support limité des certificats CNG (Cryptography API: Next Generation). Les clients ConfigMgr peuvent utiliser un certificat client avec une clé privé dans le CNG Key storage Provider (KSP). Ceci permet le supporté des clés privées basées sur le matériel (TPM). Les certificats CNG peuvent être utilisés pour permettre :
  • L’enregistrement du client et les communications avec les Management Point HTTPs.
  • La distribution logicielle et le déploiement d’application avec un Distribution Point HTTPs.
  • Le déploiement de système d’exploitation.
  • Le SDK Client Messaging (avec la dernière mise à jour) et les Proxy ISV.
  • La configuration Cloud Management Gateway.

Gestion du contenu

• Peer Cache quitte le statut de préversion (Pre-release)
  • Client Peer Cache supporte maintenant les fichiers d’installation express de Windows 10 et Office 365.
• Vous pouvez maintenant déployer des Cloud Distribution Points (Cloud DP) dans Azure Government.

Déploiement d’applications

• Le Software Center ne déformera plus les icônes dont la taille est supérieure à 250x250. Software Center a rendu ces icônes floues. Vous pouvez maintenant définir une icône avec une dimension de pixel allant jusqu' à 512x512, et elle s'affiche sans distorsion.

Mises à jour logicielles

• Vous pouvez gérer les mises à jour de drivers pour les périphériques Microsoft Surface. Ceci requiert l’utilisation de Software Update Point qui exécutent Windows Server 2016. Cette fonctionnalité était jusqu’à maintenant en préversion.

Déploiement de systèmes d’exploitation

• Support du déploiement de système d’exploitation de Windows 10 1709. Vous pouvez donc mettre à niveau et utiliser la dernière version de l’ADK 1709.
• La tâche Run Task Sequence quitte le statut de préversion (Pre-Release). Cette tâche permet d’imbriquer des séquences de tâches. Le scénario classique est l’utilisation d’une séquence de tâches pour appliquer les drivers ou installer des applications qui est elle-même appelée par plusieurs séquences de tâches parentes. Tous les scénarios de déploiement de système d’exploitation (Software Center, PXE et media) sont supportés. La tâche Run Task Sequence peut être utilisée à travers plusieurs niveaux de séquence de tâches et pas simplement une relation parent-enfant. Cette capacité augmente la complexité de la séquence de tâches. Microsoft valide toujours qu’il n’y ait pas de boucles/références circulaires.

Conformité des paramétrages

• Amélioration de l’expérience pour les profils VPN afin de n’afficher les paramétrages uniquement applicables à la plateforme spécifique. Les profils sont maintenant spécifiques à la plateforme (excepté pour Android, Android for Work ou Windows 8.1). De plus, le workflow de création a été combiné entre les machines gérées avec le client SCCM et celles gérées en mode hybride (Microsoft Intune). La page Automatic VPN est obsolète et a été supprimée. Ceci n’est applicable que pour les nouveaux profils créés. Les anciens profils ne sont pas touchés et les pages de configuration restent similaires.

• Cette version corrige les problèmes avec les deux paramétrages de stratégies de gestion des applications mobiles (MAM) introduits dans la version 1706 :
  • Disable contact sync empêche l’application de sauvegarder des données vers l’application Contact native.
  • Disable printing empêche l’application d’imprimer des données d’entreprise
• Changement dans les stratégies Windows Defender Device Guard
  • Renommage des stratégies Device Guard par Windows Defender Application Control.
  • A partir de Windows 10 1709, l’application des stratégies ne nécessitent plus le redémarrage du périphérique pour s’appliquer. Par défaut, le redémarrage est nécessaire.
  • Les administrateurs ont l’option d’autoriser les périphériques verrouillés à exécuter les logiciels de confiance qui ont une bonne réputation comme déterminé par Microsoft Intelligent Security Graph (ISG). Ce dernier est issu de Windows Defender SmartScreen et des autres services Microsoft. Le périphérique doit d’ailleurs exécuter Windows Defender SmartScreen afin que le logiciel soit taggué comme de confiance.
• Configurer et déployer des stratégies Windows Defender Application Guard. Pour rappel, Windows Defender Application Guard (WDAG) permet d’isoler Microsoft Edge dans un environnement conteneurisé. Ceci évite qu’un logiciel malveillant qui exécute du code à partir du navigateur puisse se propager au système. Cette fonctionnalité nécessite Hyper-V pour fonctionner et par conséquent le matériel adéquat.
• Support de Windows Defender Exploit Guard afin de permettre la configuration et le déploiement des stratégies pour les 4 composants dans Windows 10 1709 (ou plus) :
  • Attack Surface Reduction
  • Controlled folder access
  • Exploit protection
  • Network protection

Plus d’informations sur cette version : What’s new in version 1710 

Pour obtenir les éléments relatifs au processus de mise à jour : https://docs.microsoft.com/en-us/sccm/core/servers/manage/updates