Microsoft vient de publier l’Update Rollup 4 pour System Center 2016 Orchestrator (KB4047355). Avant d’appliquer cet UR, lisez bien les articles de la base de connaissances associés. Vous pouvez les déployer manuellement en récupérant les CAB ou via Windows Update/WSUS.

Cette mise à jour inclut les améliorations suivantes :

• Support de TLS 1.2 comme protocole de sécurité pour les communication.

Celui-ci corrige le problème suivant :

• Orchestrator lève une erreur quand vous avez ajouté plus de 23 groupes dans les permissions d’un dossier de Runbook.
• Les runbooks qui utilisent l’activité Send Email échoue lors du check-in.

Plus d’informations sur : https://support.microsoft.com/en-us/help/4047355/update-rollup-4-for-system-center-2016-orchestrator

Télécharger Update Rollup 4 for System Center 2016 Orchestrator

Ismaël Limbad (Support Escalation Engineer pour l’équipe Windows Core) traite de la configuration des associations de type de fichiers de Windows 10. Ceci permet d’éviter que la mauvaise application soit associée au type de fichiers comme par exemple Microsoft Edge en lieu et place d’Adobe Reader. Cela permet aussi d’éviter le message An App default was reset.

La méthode proposée est la suivant :

• Utilisez une machine de référence
• Installez les applications
• Allez dans le panneau de configuration puis Programmes par défaut (Default Programs) puis configurez les applications par défaut. Avec Windows 1709, ceci est présent dans l’application Paramétrages (Settings).
• Exportez les association d’applications par défaut avec la commande :Dism.exe /online /export-defaultappassociations:C:\temp\CustomFileAssoc.xml
• Validez le fichier XML et ne supprimez aucune ligne !
• Importez le fichier XML via l’une des méthodes suivantes :
  • La commande : Dism.exe /online /import-defaultappassociations:c:\temp\CustomFileAssoc.xml
  • La GPO Computer\Policies\Administrative Templates\Windows Components\File Explorer\Set a default associations configuration file.

Plus d’informations sur le processus via son billet : Windows 10 – How to configure file associations for IT Pros?

Un lecteur est venu m’interpeller sur le fait que les mises à jour Preview des correctifs cumulatifs mensuels (Monthly Quality Rollup) pour Windows, ont disparu de WSUS ou System Center Configuration Manager depuis Septembre.

Il s’avère que Microsoft ne les publie plus dans le catalogue WSUS car elles étaient difficilement gérables avec les règles d’auto-approbation de WSUS. En effet, ces dernières comportent la même classification que les mises à jour cumulatives mensuelles finales. Là où avec Configuration Manager, il est facile de faire un filtre sur le titre, ce n’est pas le cas avec WSUS.

Si vous souhaitez tout de même les utiliser pour les déployer en avance de phase, vous pouvez les importer à la main dans le catalogue WSUS :

• Ouvrez la console d’administration de WSUS.
• Naviguez dans Update Services/<SERVERNAME>/Updates et cliquez droit sur Import.

• Vous êtes redirigez sur le catalogue, cherchez la mise à jour en question.
• Ajoutez là au panier.
• Dans le panier, choisissez d’importer directement dans WSUS.

SSL et TLS ne sont plus considérés comme étant une méthode de chiffrement forte. Ainsi, Microsoft a annoncé le support du protocole de sécurité TLS 1.2 par System Center 2016 :

• System Center Operations Manager (SCOM)
• System Center Virtual Machine Manager (SCVMM)
• System Center Data Protection Manager (SCDPM)
• System Center Orchestrator (SCO)
• Service Management Automation (SMA)
• Service Provider Foundation (SPF)
• System Center Service Manager (SCSM)

Le support implique un processus à 3 étapes :

• Installer les mises à jour de sécurité pour Windows, SQL Server & System Center 2016 UR4. Pour SCVMM, SMA, et SPF, vous devez utiliser l’Update Rollup 3 de System Center 2016. Pour SMA, vous devez aussi mettre à jour le Management Pack.
• Changez les paramétrages pour activer TLS 1.2 dans Windows et System Center
• Effectuer les changements spécifiques aux composants System Center.

Vous pouvez en apprendre plus sur l’article : https://support.microsoft.com/en-us/help/4051111

Microsoft vient de publier l’Update Rollup 4 pour System Center 2016 Data Protection Manager (KB4043316). Avant d’appliquer cet UR, lisez bien les articles de la base de connaissances associés. Vous pouvez les déployer manuellement en récupérant les CAB ou via Windows Update/WSUS.

Cette mise à jour inclut les améliorations sur la sécurité des sauvegardes Azure avec notamment :

• La migration du stockage de sauvegarde entre volumes. Ceci permet d’optimiser l’usage du stockage en déplaçant et stockant les sources de données sur des volumes qui correspondent mieux aux performances attendues. Cela couvre aussi les sources de données qui sont stockées sur des volumes pleins et qui ne peuvent être étendus.
• Exclusion de volumes. Il est maintenant possible de choisir la liste des volumes qui doivent être exclus basés sur une lettre de lecteur ou de point de montage. Ceci évite une sélection accidentelle du volume comme volumes de sauvegarde.
• Support de TLS 1.2 comme protocole de sécurité pour les communication.
• Lorsque vous créez un groupe de protection pour sauvegarder des fichiers et des dossiers, le calcule de la taille peut prendre du temps si le dossier contient de nombreux fichiers. Vous pouvez changer une clé de registre pour que DPM accepte la taille du volume par défaut au lieu de calculer la taille de chaque fichier.
• L’optimisation de la vérification de l’intégrité pour la sauvegarde des machines virtuelles basées sur Hyper-V RCT, élimine le gonflement causé par l’opération et améliore les performances de l’opération.

Celui-ci corrige le problème suivant :

• Les sauvegardes de source de données BMR et System State consomment plus de stockage quand vous utilisez le stockage Modern Backup.
• Quand vous configurez le partage de librairie de cassette, la commande SetSharedDpmDatabase.exe crash quand SQL Server 2012 est utilisée comme base de données DPM.
• Si la sauvegarde de disque est en cours, le job de sauvegarde sur cassette de la source de données peut échouer.
• Les jobs de synchronisation alternatifs sur els fichiers et dossiers d’un volume dédupliquée, lève incorrectement des alertes de fichiers en échec.
• Si plusieurs sources de données sont protégées par le serveur DPM principal, l’activation de la protection depuis un serveur DPM secondaire peut échouer et renvoyer l’erreur 36.
• Quand vous essayez de restaurer des fichiers et dossiers depuis Azure, des objets dans le point de restauration en ligne ne sont pas visibles dans l’interface utilisateur quand l’objet a un chemin plus long que 256 caractères.
• Des crashs de console surviennent lors de l’activation de la protection sur un partage de fichiers qui est protégé par un serveur DPM principal depuis un serveur DPM secondaire.
• L’interface utilisateur arrête de répondre pendant plusieurs minutes lors du lancement d’un job de vérification de l’intégrité.
• La sévérité de l’alerte qui est levée est plus basse depuis critique à informatique, quand une sauvegarde en ligne échoue à cause d’un nouveau disque de sauvegarde présent depuis la dernière sauvegarde en ligne.

Plus d’informations sur : https://support.microsoft.com/en-in/help/4043316/update-rollup-4-for-system-center-2016-data-protection-manager

Télécharger Update Rollup 4 for System Center 2016 Data Protection Manager

Microsoft a publié le premier Cumulative Update (14.0.3006.16) de SQL Server 2017. Ce Cumulative Update comprend plusieurs correctifs.

Plus d’informations sur : https://support.microsoft.com/en-us/help/4038634/cumulative-update-1-for-sql-server-2017

Télécharger SQL Server® 2017 for Microsoft® Windows Latest Cumulative Update

Dirk Brinkmann (MSFT) a créé un Management Pack pour System Center Operations Manager permettant d’étendre la supervision du Management Pack Active Directory pour prendre en compte l’émission RID (Relative Identifier).

Ce Management Pack comporte 6 règles supervisant les événements suivants :

• 16556 Pool Threshold has been reached
• 16555 Global Maximum has increased
• 16554 Pool has been invalidated
• 16553 Configured pool size is greater than supported maximum
• 16557 Pool threshold has been reached – Critical Level
• 16558 Periodic update on remaining RID in pool

Plus d’informations sur : https://blogs.technet.microsoft.com/germanageability/2017/10/25/add-on-mp-for-windows-20122016-ad-rid-issuance-monitoring/

Télécharger le Management Pack Windows 2012/2016 AD RID issuance monitoring

Microsoft vient de publier l’Update Rollup 4 (7.5.7487.89) pour System Center 2016 Services Manager (KB4024038). Avant d’appliquer cet UR, lisez bien les articles de la base de connaissances associés. Vous pouvez les déployer manuellement en récupérant les CAB ou via Windows Update/WSUS.

Celui-ci corrige le problème suivant :

• Service Manager 2016 supportera TLS 1.2 avec cette mise à jour.
• Les liens de navigation du portail en libre-service ne fonctionnent pas quand le menu est dans un état étendu.
• Les règles de validation Regex ne sont pas honorées dans les éléments du formulaire Request offering.
• Les champs de type Date/Time réinitialise la valeur qui doit être stockée à 12h00 pour certaines valeurs quand la valeur transformée en GMT est 00h00
• Les changements dans un Business service sont surchargés, si le Business Service est associé à un objet dans un modèle de Service Request qui est utilisé pour créer la Service Request depuis le portail en libre-service.

Télécharger Update Rollup 4 for System Center 2016 Service Manager

Microsoft a lancé un sondage à destination des entreprises concernant le stockage d’objets On-Premises sur Windows. Le bute st de comprendre les charges de stockage d’objets dans le datacenter et le design des produits et des applications.

Répondre au sondage : https://www.surveymonkey.com/r/5GSVSL7

Microsoft vient de publier la mise à jour de révision de Septembre 2017 pour sa suite Microsoft Desktop Optimization Pack (MDOP). Pour rappel, Microsoft a revu son processus de publication des correctifs qui touchent Microsoft Desktop Optimization Pack (MDOP) avec l’arrivée de Windows 10. On retrouve des mises à jour de maintenance (Servicing Release) chaque mois. Ces dernières sont directement incluses dans les mises à jour cumulatives de Windows 10 ou peuvent être déployées séparément pour les versions de systèmes d’exploitation antérieures. 

Pour App-V 5.1 RTM, on retrouve :

• Les handles dupliqués ne sont pas gérés correctement et engendrent le crash de l’Application Virtuelle.
• Le cycle de vie des entrées de registre n’est pas géré correctement.

Pour MBAM 2.5 SP1, on retrouve :

• Des Deadlocks surviennent dans les bases de données Cluster MBMA.

Pour UE-V 2.1 SP1, on retrouve :

• Les paramétrages de profil sont supprimés de manière incorrecte quand le même nom est utilisé dans différente cas.

Note : La mise à jour des clients App-V et UE-V intégrés aux versions de Windows 10, se fait via les mises à jour cumulatives (Monthly Quality Updates)

Pour obtenir plus d’informations et le correctif, rendez-vous sur la KB4041137 September 2017 servicing release for Microsoft Desktop Optimization Pack

Télécharger Microsoft Desktop Optimization Pack September 2017 Servicing Release

Microsoft propose un webcast d’une heure le 7 novembre de 19h à 20h (heure française) sur Windows Analytics. Ce webcast présenté par Matthew Reynolds et Lead Marc Shepard présentera quand, pourquoi, et comment utiliser Windows Analytics pour améliorer les mises à niveau, le déploiement des mises à jour et la gestion des périphériques. Ils répondront aussi aux questions des participants.

S’enregistrer sur : https://info.microsoft.com/en-us-landing-discoverproactiveinsightswithwindowsanalytics.html

Microsoft IT a publié une plaquette visant à aborder le déploiement d’un poste de travail moderne et sécurisé. On retrouve deux principaux composants : Windows 10 et Office 365. Le document aborde 5 sujets :

• Le déploiement depuis le Cloud
• Le déploiement avec System Center Configuration Manager
• La gestion des mises à jour depuis le Cloud
• La gestion des mises à jour avec System Center Configuration Manager
• La protection des périphériques Windows 10.

Télécharger Microsoft Modern and Secure Desktop

Microsoft a publié un outil principalement dédié aux entreprises pour mettre à jour les périphériques Windows Phone 8.1 éligibles vers Windows 10 Mobile.

Voici les prérequis :

• La machine utilisée pour mettre à jour le téléphone doit utiliser une version supportée de Windows avec le .NET Framework 4.0.
• La machine utilisée pour mettre à jour le téléphone doit disposer d’une connexion Internet et doit pouvoir se connecter à Windows Update.
• Le périphérique doit pouvoir être connecté à un PC via USB
• Le périphérique doit être déverrouillé de son PIN.
• Le périphérique doit être en mode avion avant de pouvoir utiliser l’outil.

Télécharger Over-the-cable Updater tool for Windows Phone 8.1 and Windows Mobile 10

Microsoft vient d’annoncer la mise à disposition d’un nouvel ensemble de fonctionnalités pour Microsoft Intune.

Les fonctionnalités suivantes sont ajoutées :

Général

• Suppression du bouton Enable/Disable pour la page Intune Certificate Authority afin d’éliminer une étape non nécessaire. Si vous désactiviez le connecteur, ce dernier continuait à délivrer des certificats.

Enregistrement

• [General] Un Quick Start est disponible dans la partie Device Enrollment afin de fournit une table de référence pour les plateformes gérées et la configuration du processus d’enregistrement.
• [General] Le tableau des périphériques enregistrés dans Devices > Overview organise les périphériques par plateforme (Android, iOS, macOS, Windows et Windows Mobile). Les autres systèmes d’exploitation sont regroupés dans Others (par exemple Blackberry, NOKIA, etc.)
• [Windows 10] Support du programme Windows AutoPilot Deployment dans Microsoft Intune. our rappel, Windows AutoPilot est l’équivalent du programme Apple Device Enrollment Program (DEP). Il permet de pré-provisionner des périphériques sans action particulière de la part de l’utilisateur. On peut donc acheter le périphérique et le faire livrer directement à l’utilisateur. Ce dernier le démarre et il se configure tout seul avec les éléments nécessaires pour l’entreprise.

• [Android] Amélioration du workflow d’enregistrement dans le portail d’entreprise pour Android. Les éléments utilisateur sont plus user-friendly et spécifique à l’entreprise. Microsoft a aussi combiné des écrans. Les changements sont disponibles sur : https://docs.microsoft.com/en-us/intune/whats-new-app-ui#week-of-october-2-2017
• [Android] L’utilisateur doit accepter les permissions Contacts via le portail d’entreprise sur Android. Si l’utilisateur refuse cet accès, il voir maintenant une notification dans l’application qui l’alerte afin de donner l’accès pour l’accès conditionnel.
• [Android] Les utilisateurs avec des périphériques Android peuvent maintenant afficher la raison de non-conformité dans le portail d’entreprise. Quand cela est possible le portail redirige vers l’emplacement exacte dans les paramétrages pour corriger le problème.
• [Android] Blocage des périphériques Samsung Knox non supportés. Le portail d’entreprise n’enregistrera uniquement les périphériques Samsung KNOX supportés par Samsung.
• [Android] Lors de l’enregistrement d’un périphérique Android for Work avec un profil de travail, c’est le portail d’entreprise dans le profil de travail qui effectue les tâches d’administration sur le périphérique. A moins que vous utilisiez une application MAM dans le profil personnel, le portail d’entreprise pour Android n’est plus utilisé. Afin d’améliorer l’expérience, Intune cache automatiquement le portail d’entreprise personnel après l’enregistrement avec succès du profil de travail. Il est possible de réafficher le portail d’entreprise dans le profil personnel en naviguant dans le Play Store et en cliquant sur Enable.
• [iOS] La page d'Overview pour l'enregistrement montre les alertes utiles à l’administrateur concernant la gestion Apple avec par exemple l'expiration du certificat Apple APN, du token Apple DEP, et quand il y a des périphériques non assignés au programme DEP.

Gestion des périphériques

• [Windows] Support de la prise en main à distance pour Windows et Windows Mobile géré en mode moderne via l’intégration avec TeamViewer.

• [Windows 10] De nouveaux paramétrages sont ajoutés dans le profil Windows 10 device restriction profile dans la catégorie Windows Defender SmartScreen.
• [Windows 10] Il est possible d’exécuter des actions à distance sur l’antivirus Windows Defender comme une analyse rapide, une analyse complète ou la mise à jour des signatures pour des périphériques Windows 10 gérés en mode moderne.

• [Windows] Le portail d’entreprise Windows 8.1 et Windows Phone 8.1 passent en mode support. Cela signifie que les scénarios continuent d’être supportés mais l’application ne recevra que des mises à jour de sécurité critique. Aucun ajout de fonctionnalités ne sera fait à l’application. Microsoft recommande la mise à jour vers Windows 10.
• [Android] Fin de support d’Android 4.3 et versions inférieures. Le portail d’entreprise nécessitera la Android 4.4 ou plus pour fonctionner. Les périphériques qui n’auront pas été mis à jour avant décembre ne pourront plus accéder au portail d’entreprise. Si vous utilisez les stratégies de protection des applications sans MDM, les applications ne recevront plus les mises à jour.
•  [Android] De nouvelles notifications à destination de l’utilisateur final dans le portail d’entreprise pour Android Oreo, indiquent quand le portail d’entreprise effectue des tâches de fond (comme récupérer les stratégies, etc.).
• [iOS] Ajout de l’information Ownership Type dans la vue Device Details du portail d’entreprise sur iOS. Ceci offre plus de transparence à l’utilisateur. 
• [iOS] Ajout du support de l’authentification basée sur des certificats pour le portail d’entreprise iOS. Ceci permet à l’utilisateur de taper simplement son nom d’utilisateur et de choisir de se connecter avec un certificat. Cette capacité est déjà disponible sur le portail d’entreprise pour Android et Windows.

Configuration des périphériques

• [Windows 10] De nouveaux paramétrages pour le profils Windows 10 Team device restriction ont été ajoutés pour permettre de contrôler les périphériques Surface Hub.
• [Android] Vous pouvez utiliser des stratégies de périphérique Android personnaliées pour empêcher les utilisateurs de périphériques Android de changer la date et l’heure. Ceci se fait via ./Vendor/MSFT/PolicyManager/My/System/AllowDateTimeChange
• [Windows 10] La partie Windows Encryption > Base Settings inclut maintenant un paramétrage Warning for another disk encryption afin de désactiver l’avertissement qui est affiché pour le chiffrement d’autres disques en cours d’utilisation sur le périphérique.

Gestion des applications

• [General] Vous pouvez utiliser les tokens pour des valeurs dynamiques dans les configurations d'applications sur les périphériques qui ne sont pas enregistrés.
• [iOS] Les développeurs tierces peuvent distribuer de manière privée des applications via le programme Apple VPP for Business. Ces applications sont maintenant synchronisées avec le tenant Intune lorsqu’un utilisateur les achète.
• [iOS] Vous pouvez choisir un pays pour le store Apple VPP lors de l’upload d’un token VPP. Intune synchronise alors les applications VPP correspondant au store du pays. Aujourd’hui Intune ne synchronise que les applications VPP pour un pays du store VPP qui correspond à la langue d’Intune dans lequel le tenant a été créé.
• [iOS] Vous pouvez spécifier une langue de pays lors de la création d’une application gérée par l’Apple AppStore.
• [iOS] Vous pouvez configurer un token iOS pour mettre à jour toutes les applications achetées pour ce token à travers le service Intune. Ainsi Intune détecte les applications qui doivent être mis à jour et pousse automatiquement les mises à jour aux périphériques qui se présentent.
• [Android] Vous pouvez configurer un profil d’entreprise pour Android for Work afin de bloquer la copie entre les applications d’entreprise et personnelles. Ce paramétrage est présent dans Device Restrictions – Work profile settings de la plateforme Android for Work.

Supervision et Dépannage

• [Général] Le nouveau portail de dépannage (Troubleshoot) offre un espace unique permettant de revoir l'état des périphériques, des déploiements, des stratégies, des groupes, de l'état de protection des applications etc.

• [Général] L’association du périphérique et de l’utilisateur permet maintenant de créer des rapports et de visualiser des données.
• [Général] L’option App protection policy sera ajouté dans la liste déroulante des Assignments à partir de la tuile de dépannage.
• [Windows 10] Vous pouvez voir le rapport de stratégie pour des Update Rings de Windows 10 à partir de Software Updates > Per update ring deployment stat.
• [iOS] Un nouveau rapport Out-of-date iOS Devices est disponible depuis l’espace Software updates. Ce rapport affiche la liste des périphériques iOS supervisés qui sont ciblés par une stratégie de mise à jour iOS et qui ont des mises à jour disponibles.

Plus d’informations sur : https://docs.microsoft.com/en-us/intune/whats-new

Nathan Mercer et Michael Niehaus (MSFT) vont tenir un webinar pour aborder les nouveautés à destination des IT Pros présentes dans Windows 10 1709 (Fall Creators Update). Ce Webinar a lieu le 2 novembre à 18h (heure française). Les sujets suivants seront abordés :

• Provisionner et sécuriser un périphérique plus facilement et rapidement
• Détecter et répondre aux menaces plus efficacement
• Faire un tour d’horizon des fonctionnalités offertes dans cette Update.

S’inscrire au Webinar

Steve Lee (MSFT) a annoncé que l’exécutable de PowerShell allait être renommé pwsh pour l’arrivée de PSCore. Globalement, on retrouvera dans les prochaines versions de Windows :

• powershell.exe pour Windows PowerShell
• pwsh.exe pour PowerShell Core 6

Il n’y aura pas d’impact direct tant que vous n’utiliserez ne ferait pas appel à PowerShell.exe avec un script qui comporte des éléments de PowerShell Core 6. L’extension de fichiers .ps1 reste identique.

Plus d’informations sur : https://github.com/PowerShell/PowerShell/issues/4214

Source : https://twitter.com/Steve_MSFT/status/920706829058949120

Microsoft publie une version Preview d’Azure Migrate Collector. Cette Appliance virtuelle permet de collecter des données sur les machines virtuelles On-premises et d’évaluer leur viabilité dans Azure. L’outil donne notamment le coût d’exécution de la machine virtuelle dans Azure et si elle est prête à être migrée. Il peut être utilisée avec Hyper-V et les environnements vCenter avec des hôtes ESXi.

Télécharger Azure Migrate Collector limited preview v1.0.8.25

Microsoft publie les outils d’administration de serveur à distance (RSAT) pour chaque version de Windows afin d’administrer les serveurs à distance. Microsoft a publié les outils à destination de Windows 10 1709 (Fall Creators Update). Notez que ceux-ci rassemblent Server Manager, les composants additionnels pour la MMC, les cmdlets PowerShell, et les outils en ligne de commande permettant de gérer Windows Server 2016 ou Windows Server 1709. Microsoft a précisé que certains outils pouvaient être utilisés pour gérer des rôles et fonctionnalités de Windows Server 2012 R2, Windows Server 2012, Windows Server 2008, Windows Server 2008 R2.

Vous devez utiliser :

• WindowsTH-RSAT_WS_1709-<Architecture>.msu quand vous gérez Windows Server 1709
• WindowsTH-RSAT_WS2016-<Architecture>.msu quand vous gérez Windows Server 2016 ou les versions antérieures.

Télécharger Remote Server Administration Tools for Windows 10

Microsoft a publié une mise à jour de son fichier de listing des paramétrages de stratégies de groupe (GPO) pour Windows 10 1709 (Fall Creators Update). On retrouve de nombreux nouveaux paramétrages dont :

• Pour Windows Defender Application Guard :
  • Allow data persistence for Windows Defender Application Guard
  • Allow auditing events in Windows Defender Application Guard
• Pour Microsoft Edge :
  • Always show the Books Library in Microsoft Edge
  • Provision Favorites
  • Prevent changes to Favorites on Microsoft Edge
• Pour Windows Defender Exploit Guard :
  • Use a common set of exploit protection settings
• Pour Windows Hello for Business :
  • Configure device unlock factors
  • Configure dynamic lock factors
  • Turn off smart card emulation
  • Allow enumeration of emulated smart card for all users
• Pour Windows Defender :
  • Prevent users and apps from accessing dangerous websites
  • Configure Controlled folder access
  • Configure Attack Surface Reduction rules
  • Exclude files and paths from Attack Surface Reduction Rules
  • Configure allowed applications
  • Configure protected folders
• Pour Windows Defender Security Center :
  • Hide the Virus and threat protection area
  • Hide the Firewall and network protection area
  • Hide the App and browser protection area
  • Prevent users from modifying settings
  • Hide the Device performance and health area
  • Hide the Family options area
  • Hide all notifications
  • Hide non-critical notifications
  • Configure customized notifications
  • Configure customized contact information
  • Specify contact company name
  • Specify contact phone number or Skype ID
  • Specify contact email address or Email ID
  • Specify contact website
• Pour Windows Update :
  • Allow updates to be downloaded automatically over metered connections
  • Do not allow update deferral policies to cause scans against Windows Update
• Pour OneDrive :
  • Prevent OneDrive from generating network traffic until the user signs in to OneDrive
• Pour Internet Explorer :
  • Hide the button (next to the New Tab button) that opens Microsoft Edge
• Pour MDM :
  • Auto MDM Enrollment with AAD Token
• Plus généralement :
  • Let Windows apps communicate with unpaired devices
  • Allow Online Tips
  • Limit Enhanced diagnostic data to the minimum required by Windows Analytics
  • Enable usage of FIDO devices to sign on
  • Handwriting Panel Default Mode Docked
  • Allow Message Service Cloud Sync
  • Specify global DNS
  • Enables Activity Feed
  • Allow publishing of User Activities
  • Turn off Power Throttling
  • Turn off Push To Install service
  • Allow Cloud Search
  • Allow downloading updates to the Disk Failure Prediction Model
  • Enable Device Health Attestation Monitoring and Reporting
  • Configure the system to clear the TPM if it is not in a ready state.
  • Set Per-App Cellular Access UI Visibility
  • Let Windows apps access cellular data

Télécharger Group Policy Settings Reference for Windows and Windows Server

Microsoft vient de publier les modèles d’administrations (ADMX, ADML) Active Directory pour Windows 10 1709 (Fall Creator Updates). Les modèles d’administrations pour Active Directory permettent d’ajouter les paramètres permettant de personnaliser les paramétrages et valeurs de registre dédiées à Windows 10.

Parmi les nouveautés par rapport à Windows 10 1703, on retrouve :

• Pour Windows Defender Application Guard :
  • Allow data persistence for Windows Defender Application Guard
  • Allow auditing events in Windows Defender Application Guard
• Pour Microsoft Edge :
  • Always show the Books Library in Microsoft Edge
  • Provision Favorites
  • Prevent changes to Favorites on Microsoft Edge
• Pour Windows Defender Exploit Guard :
  • Use a common set of exploit protection settings
• Pour Windows Hello for Business :
  • Configure device unlock factors
  • Configure dynamic lock factors
  • Turn off smart card emulation
  • Allow enumeration of emulated smart card for all users
• Pour Windows Defender :
  • Prevent users and apps from accessing dangerous websites
  • Configure Controlled folder access
  • Configure Attack Surface Reduction rules
  • Exclude files and paths from Attack Surface Reduction Rules
  • Configure allowed applications
  • Configure protected folders
• Pour Windows Defender Security Center :
  • Hide the Virus and threat protection area
  • Hide the Firewall and network protection area
  • Hide the App and browser protection area
  • Prevent users from modifying settings
  • Hide the Device performance and health area
  • Hide the Family options area
  • Hide all notifications
  • Hide non-critical notifications
  • Configure customized notifications
  • Configure customized contact information
  • Specify contact company name
  • Specify contact phone number or Skype ID
  • Specify contact email address or Email ID
  • Specify contact website
• Pour Windows Update :
  • Allow updates to be downloaded automatically over metered connections
  • Do not allow update deferral policies to cause scans against Windows Update
• Pour OneDrive :
  • Prevent OneDrive from generating network traffic until the user signs in to OneDrive
• Pour Internet Explorer :
  • Hide the button (next to the New Tab button) that opens Microsoft Edge
• Pour MDM :
  • Auto MDM Enrollment with AAD Token
• Plus généralement :
  • Let Windows apps communicate with unpaired devices
  • Allow Online Tips
  • Limit Enhanced diagnostic data to the minimum required by Windows Analytics
  • Enable usage of FIDO devices to sign on
  • Handwriting Panel Default Mode Docked
  • Allow Message Service Cloud Sync
  • Specify global DNS
  • Enables Activity Feed
  • Allow publishing of User Activities
  • Turn off Power Throttling
  • Turn off Push To Install service
  • Allow Cloud Search
  • Allow downloading updates to the Disk Failure Prediction Model
  • Enable Device Health Attestation Monitoring and Reporting
  • Configure the system to clear the TPM if it is not in a ready state.
  • Set Per-App Cellular Access UI Visibility
  • Let Windows apps access cellular data

Pour voir le listing complet des paramétrages, vous pouvez utiliser le fichier des différences.

Télécharger Administrative Templates (.admx) for Windows 10 Fall Creators Update (1709)

Microsoft a annoncé la disponibilité de Windows 10 1709 (Build 10.0.16299.x) encore appelée Fall Creators Update (RS3). Parmi les grandes nouveautés, on retrouve :

Changement Généraux sur le système

• Introduction de Windows Mixed Reality pour mettre de la réalité mixte dans Windows. Vous pouvez donc utiliser des casques ou des caméras de réalité virtuelle pour différents usages. Microsoft a annoncé des casques par Acer, Dell, HP, Lenovo et Samsung. En outre l’application Mixed Reality Viewer permet d’utiliser la caméra de son PC pour visualiser des objets 3D dans votre environnement.
• Microsoft permet l’intégration d‘objets 3D dans les fichiers Office (Pour les nouvelles versions) comme par exemple dans les présentations PowerPoint ou les documents Word ou Excel.
• La solution de Streaming de jeux vidéo (Mixer) se voit améliorée.
• Microsoft intègre une solution antitriche appelé TruePlay qui pourra être utilisé par les développeurs.
• Une nouvelle version de l’application Photo permet de convertir les photos en souvenirs et histoires et de les personnaliser avec des effets 3D, des transitions et des vidéos sans nécessiter de l’expérience dans l’édition.
• Microsoft intègre sa fonction My People permettant d’attacher des contacts privilégiés dans la barre de tâches afin d’envoyer facilement des emails ou des messages instantanés via Skype. Cette fonction permet aussi de partager très facilement des choses (Site Internet, etc.) simplement par un drag and drop.
• Continuum permet maintenant une utilisation en mode Portrait.
• Vous pouvez utiliser Cortana pour arrêter, redémarrer ou mettre en veille votre ordinateur.
• Au lieu d'afficher un simple lien vers les résultats, le volet Cortana s'agrandit automatiquement et présente rapidement les informations que vous recherchez. Cela fonctionne pour les films, les célébrités, le cours des actions, la météo, l'état des builds, etc.
• OneDrive Files On-Demand permet d’éviter le téléchargement de l’ensemble des fichiers et de choisir ceux que vous souhaitez stocker localement ou être simplement accessible à la demande.
• La fonctionnalité Storage Sense permettant de laisser Windows supprimer automatiquement les fichiers dont vous n’avez pas besoin, intègre maintenant les fichiers du dossier Téléchargements.
• Une fonctionnalité Find my Pen permet de retrouver le stylet associé à la tablette.
• Via la connexion Bluetooth, le stylet devient votre télécommande PowerPoint.
• On retrouve un convertisseur de devises directement depuis la calculatrice.
• Il est maintenant possible de réinitialiser le mot de passe ou le code PIN d’un compte Microsoft ou Azure Active Directory depuis l’écran de verrouillage.
• On retrouve les informations de performances graphiques directement depuis le gestionnaire de tâches.
• Le choix du mode d’énergie a été facilité pour basculer facilement du mode économie à meilleures performances.
• Continuer ce que vous avez commencer sur votre PC avec Cortana sur votre téléphone (iOS, Android et bien entendu Windows Phone) en envoyant du contenu pour l’ouvrir instantanément sur votre PC.
• Windows Store devient Microsoft Store afin d’unifier l’expérience sur les différentes plateformes. Le logo est par exemple harmonisé.
• Mise à jour de la console Windows pour revisiter les couleurs par défaut. Ceci permet d’améliorer la lisibilité des couleurs sombres sur les écrans modernes.
• De nouvelles notifications interactives quand des nouvelles mises à jour sont disponibles.
• L’espace A propos (About) de l’application Paramétrages (Settings) comprend des informations de l’état de santé, etc.

Microsoft Edge

• Microsoft Edge arbore un nouveau look avec un matériau Acrylique qui ajoute un effet de profondeur et de transparence à la barre d'onglets et aux autres commandes. Les animations des boutons ont été améliorées afin de les rendre plus réactifs et agréables.
• Il est maintenant possible d’écrire via un stylet sur des PDFs grâce à Microsoft Edge.
• Vous pouvez remplir le formulaire d’un fichier au format PDF directement dans Microsoft Edge.
• Ceci était possible avec Internet Explorer, vous pouvez maintenant attacher vos sites Web favoris à la barre de tâches via Microsoft Edge.
• Vous pouvez éditer l’URL des favoris directement depuis le menu ou la barre des favoris.
• Microsoft Edge propose un mode plein écran via la touche F11 ou via le menu des paramétrages.

Options d’accessibilité

• Microsoft a travaillé pour améliorer les options d’accessibilité, on retrouve notamment une version Bêta d’Eye Control permettant d’utiliser un Eye Tracker (comme Tobii Eye Tracker) afin d’utiliser le regard pour diriger la souris, le clavier, etc.
• Microsoft intègre aussi Learning Tools dans Microsoft Edge pour rendre faciliter la lecture pour les personnes atteintes de dyslexie. Ceci permet de surligner et en même temps lire du texte sur des pages internet ou sur des documents PDF.
• Dictation permet aux personnes de parler dans un microphone et de convertir en texte qui apparait sur l’écran en utilisant Windows Speech Recognition. Microsoft a amélioré l’outil pour utiliser des commandes vocales permettant l’édition basique.
• Color Filters permet d’améliorer l’utilisation pour des personnes qui sont atteintes de daltonisme pour différentier les couleurs.

Protection avancée contre les menaces de sécurité actuelles

• Améliorations de Windows Defender Advanced Threat Protection (ATP) :
  • Le tableau de bord intègre les éléments de l’ensemble des solutions de sécurité. Microsoft a développé des indicateurs d’attaques (IOAs) qui sont capables de détecter des compromissions. Ceci inclut :
    • Windows Defender Application Guard,
    • Windows Defender Device Guard,
    • Windows Defender Credential Guard,
    • Windows Defender Firewall
    • Windows Defender Antivirus.
  • Un tableau de bord des opérations de sécurité offre une vision des alertes actives, des machines qui ont fait des rapports, les machines et utilisateurs à risque, les machines avec des malwares actifs, etc.
  • Le tableau de bord d’Analytics de sécurité permet de voir l’état de sécurité de l’organisation, les machines qui nécessitent une attention particulière et une liste d’actions pour réduire la surface d’attaque.
  • De nouvelles Graph APIs de sécurité.
• Windows Defender Application Guard (WDAG) permettant d’isoler Microsoft Edge dans un environnement conteneurisé d’à peine 18 MB. Ceci évite qu’un logiciel malveillant qui exécute du code à partir du navigateur puisse se propager au système. Cette fonctionnalité nécessite Hyper-V pour fonctionner et par conséquent le matériel adéquat. Les stratégies permettent de gérer le copier/coller, le type de contenu que tu peux copier/coller, les imprimantes, le filtre de contenu relaxé ou strict, la persistence des données, l’auditing. L’édition Enterprise est requise.
• Windows Defender Exploit Guard (WDEG) est l’équivalent d’Enhanced Mitigation Experience Toolkit directement inclus dans Windows 10 (Edition Pro et Enterprise). Il permet de se protéger contre certaines techniques communément utilisées pour l’exploitation de vulnérabilités. Cette solution de type Host Based Intrusion Prevention System (HIPS) s’intègre au Microsoft Intelligent Security Graph pour réduire la surface d’attaque avec des règles intelligentes. Exploit Guard intègre les composants suivants :
  • La réduction de la surface d’attaque (ASR) offre un ensemble de contrôles qui permettent à l’entreprise d’empêcher un Malware d’infecter une machine en bloquant des éléments dans Office, les scripts et les menaces par email.
  • La protection réseau afin d’empêcher les menaces basées sur el Web en bloquant les processus entrants sur les périphériques provenant d’adresses IP et d’hôtes via Windows Defender SmartScreen.
  • L’accès contrôlé au dossier (Controlled folder access) permet la protection des données sensibles contre les menaces en bloquant l’accès aux dossiers protégés pour les processus non fiables.
  • La protection contre les exploits via des atténuations qui permettent facilement de protéger le système et les applications.
• Windows Defender Application Control (WDAC) est la solution de contrôle des applications (white listing) qui utilise Windows Code Integrity. Elle permet de définir des stratégies d’exécution des applications afin de protéger le système. Configuration Manager peut être utilisé pour déployer (via Managed Installer) des applications tout en mettant à jour les stratégies d’intégrité du code. La solution n’est pas BitLocker qui permet de gérer des stratégies spécifiques à l’utilisateur ou au rôle et qui vérifie l’application sur la base de son nom ou de son hash. Ce n’est pas non plus Windows Defender Device Guard qui ajoute la virtualisation basée sur la sécurité pour le Kernel Windows en forçant la protection d’intégrité de code pour les accès en mémoire du kernel non autorisé.
• Windows Assigned Access a été amélioré pour permettre un meilleure personnalisation et verrouillage des périphériques Windows à des tâches spécifiques. La fonctionnalité supporte par exemple le verrouillage pour une utilisation avec plusieurs applications.
• Windows Hello a été amélioré pour verrouiller et déverrouiller dynamiquement avec de nouveaux facteurs comme la proximité, l’emplacement, et le support d’Intel Authenticate.
• Affichage du type de réseau (public, privé, domaine) dans la partie Firewall & Network Protection de Windows Defender Security Center.
• La taille minimum du PIN pour BitLocker a été changé de 6 à 4 sachant que la valeur par défaut reste 6 caractères.
• Amélioration de l’avertissement à l’utilisateur final pour les applications qui sont bloqués par la stratégie de l’entreprise.

Options flexibles de déploiement, mise à jour et support

• Windows AutoPilot permet un déploiement en libre-service des périphériques Windows 10 afin de livrer directement le périphérique à l’utilisateur et de le configurer automatique au premier démarrage.
• Windows 10 Automatic Redeployment permet la réinitialisation du périphérique tout en maintenant la gestion MDM et la connexion à Azure Active Directory.
• Windows 10 Subscription Activation permet d’activer ou mettre à niveau Windows 10 vers l’édition Enterprise sans infrastructure en utilisant le Cloud et l’identité Azure Active Directory de l’utilisateur. En effet, la licence Microsoft 365 (ou Secure Productive Enterprise) associée, permet l’activation du périphérique.
• Co-Management avec System Center Configuration Manager et Microsoft Intune. Cette fonctionnalité (principalement liée à ConfigMgr) permet de gérer des périphériques Windows 10 à la fois avec le client ConfigMgr mais aussi en mode moderne avec Microsoft Intune (Standalone). Vous pouvez ainsi choisir quelles sont les fonctionnalités que vous souhaitez gérer avec quel mode (traditionnel ou moderne). Pour l’instant, vous pouvez gérer les stratégies de conformité et les stratégies Windows Update for Business.
• De nouveaux paramétrages MDM permettent de :
  • Configurer le Firewall
  • Configurer Windows Defender Application Guard
  • Configurer les entrées de proxy
  • Savoir si un agent d’administration traditionnel est présent sur le périphérique
  • Configurer des paramétrages de sécurité (comme les comptes et stratégies de connexion)
• Une stratégie de groupe (Auto MDM Enrollment with AAD Token) permet d’initier l’enregistrement automatique à la solution MDM pour des machines jointes au domaine Azure Active Directory.
• Il n’est plus nécessaire d’importer les symboles Windows pour permettre le dépannage de Windows Update. La commande PowerShell d’export est toujours nécessaire pour les symboles (parfois nécessaires) ne sont plus requis.
• Les applications universelles par défaut (Par exemple : Xbox, etc.) ne sont pas réinstallées automatiquement lors de la mise à niveau. Cette fonctionnalité est très intéressante dans le monde de l’entreprise qui avait l’habitude de les supprimer et où la mise à niveau initié la réinstallation.

Gestion et contrôle complets des appareils et applications

• Il est possible d’utiliser un domaine Azure Active Directory pour s’enregistrer dans le programme Windows Insider for Business. L’administrateur enregistre donc le domaine dans le programme et peut gérer par GPO, le déploiement des Builds Windows Insider.
• Un nouvel espace dans l’application Settings permet de voir les gains en bande passante ainsi que l’activité (téléchargement, envoi) va Delivery Optimization.

• Windows 10 intègre de nouveaux capteurs de télémétrie permettant au service Windows Analytics Device Health de réduire le coût proactivement de support en identifiant et en remédiant les problèmes des utilisateurs.

Hyper-V

• Nouvelle galerie de machines virtuelles
• Des checkpoints automatiques peuvent être réalisés
• Support de la batterie virtuelle permettant de voir l’état de la batterie directement dans la machine virtuelle. Ceci peut être aussi utilisé pour réaliser un arrêt automatique.

Microsoft a revu la façon dont les éditions de Windows 10 étaient mises à disposition. Auparavant, on retrouvait :

• Une ISO pour les éditions classiques (Home, Pro, etc.)
• Une ISO pour l’édition Enterprise
• Une ISO pour l’édition Enterprise N

Avec Windows 10 1709, on retrouve une seule ISO pour l’ensemble des éditions. Cette dernière comprend plusieurs images sur des indexes différents :

Ce changement s’applique aussi aux mises à niveau (Upgrades) publiées sur WSUS. Vous retrouverez une seule mise à niveau par langue :

• Feature update to Windows 10, version 1709, <language>
• Windows 7 and 8.1 upgrade to Windows 10, version 1709, <language>

Vous pouvez télécharger cette version depuis le portail MVLS ou pour les abonnements MSDN depuis le site Visual Studio. Elle est aussi disponible depuis Windows Update ou via l’assistant de mise à niveau. Enfin, vous pouvez tester une version d’évaluation.

Plus d’informations sur les nouveautés via la vidéo suivante :

Après Windows 10 1607, Microsoft vient de publier le correctif qui permet de gérer le scénario de doubles scans par les clients Windows 10 1703. Ce dernier est inclus dans la mise à jour cumulative d’Octobre 2017.

Pour rappel, Microsoft a introduit un nouveau paradigme de gestion des mises à jour basé sur la gestion moderne. Le but est d’utiliser Windows Update for Business pour déployer les mises à jour sans avoir à valider les mises à jour individuellement mais en choisissant un délai d’application.

Le double scan (Dual Scan) a été introduit par Microsoft car de nombreuses entreprises souhaitaient pouvoir bénéficier de cette gestion moderne tout en permettant la mise à jour d’applications tierces via une infrastructure WSUS existante. Microsoft a donc introduit un double scan à partir de la version 1607 pour permettre de gérer les mises à jour des produits Windows par Windows Update for Business tout en assurant la mise à jour de composants tiers (par exemple Adobe, etc.) via WSUS et Configuration Manager. En gros, ce comportement est directement ciblé aux entreprises qui utilisent System Center Updates Publisher (SCUP) pour mettre à jour les produits tiers. Ainsi la double analyse a lieu lorsque l’entreprise configure les paramétrages Windows Update for Business (WUfB) via GPO ou MDM. 

Pour utiliser le paramètre Do not allow update deferral policies to cause scans against Windows Update, , vous devez soit le configurer localement soit utiliser des stratégies de groupe en chargeant les ADMX pour Windows 10 1709.

Voici les différents scénarios et quand activer la stratégie :

• Gérer les mises à jour Windows depuis Windows Update mais le contenu non Windows depuis WSUS : Ne pas activer la stratégie.
• Gérer les mises à jour Windows depuis WSUS et bloquer Windows Update. Vous pouvez activer la stratégie même si vous avez bloquer les communications avec Windows Update.
• Gérer les mises à jour Windows depuis Windows Update sans utiliser WSUS : Ne pas activer la stratégie.
• Gérer les mises à jour Windows depuis WSUS et les mises à jour supplémentaires avec Windows Update : Activer la stratégie.
• Gérer les mises à jour Windows depuis SCCM et les mises à jour supplémentaires avec Windows Update : Microsoft va publier des éléments sur ce sujet.

Ce paramétrage est déjà présent dans Windows 10 1709. Microsoft va bientôt permettre la gestion du paramétrage via le canal MDM.

Source : https://blogs.technet.microsoft.com/wsus/2017/08/04/improving-dual-scan-on-1607/

Avec la version d’Octobre, Microsoft met à jour le chemin d’accès utilisé pour accéder aux périphériques gérés par Microsoft Intune dans la version Bêta de Graph API.

Ancien chemin : https://graph.microsoft.com/beta/managedDevices

Nouveau chemin : https://graph.microsoft.com/beta/deviceManagement/managedDevices

Les deux chemins vont fonctionner tout le mois d’octobre puis seul le nouveau chemin ne sera utilisable. Vous devez donc mettre à jour vos scripts en conséquence si vous utilisez Graph API.

Avec l’arrivée de Windows 10 1709 (Fall Creators Update), on peut facilement se poser la question du support par System Center Configuration Manager.

Seul System Center Configuration Manager 1706 offre une rétrocompatibilité pour Windows 10 1709. Ceci signifie que cette version apporte le support sur les fonctionnalités existantes. Le support complet avec notamment de nouvelles fonctionnalités est apporté par System Center Configuration Manager 1710.

Comme pour Windows 10 1607 et 1703, Microsoft n’assure pas de support de Windows 10 1709 par System Center Configuration Manager 2007 SP2, 2012 SP2 ou 2012 R2 SP1.

En ce qui concerne Windows 10 Assessment and Deployment Kit (ADK) en version 1709, là aussi, seul System Center Configuration Manager 1706 permet son utilisation. Pour rappel, Microsoft recommande l’utilisation de l’ADK correspondant (ou supérieur) à la version de Windows 10 que vous souhaitez déployer.

Source : https://docs.microsoft.com/en-us/sccm/core/plan-design/configs/support-for-windows-10#windows-10-as-a-client

Microsoft va proposer un événement de questions/réponses sur le service SQL Server 2017. Cet évènement aura lieu ce mercredi 25 Octobre de 19h à 20h30 (heure française). Ask Microsoft Anything est une belle opportunité pour poser des questions sur SQL Server 2017 en obtenant une réponse directe.

Pour participer : https://www.reddit.com/r/Database/