Kevin Holman (MSFT) a publié un article très intéressant détaillant les maintenances à réaliser sur les bases de données SQL utilisées par System Center 2016 Operations Manager. Il revient sur les maintenances assez classiques mises en œuvre par les DBA : CheckDB, Update Statistics, Reindex, Backup.

Il aborde aussi les maintenances inclues par défaut dans le produit. Sur la base de données opérationnelle :

• 00h00 : Partitionnement et nettoyage
• 2h00 : Nettoyage des données de découverte
• 2h30 : Optimisation des indexes
• 4h00 : Auto résolution des alertes.

Il revient aussi sur la taille plus importante de la base de données lors de l’utilisation de SQL Server 2016. Ceci avait été remonté par différentes personnes. Il conseille ainsi la création d‘un job de réindexassions de la base de données opérationnelle, tous les jours entre 3h et 6h.

Enfin, il aborde les maintenances sur le Data Warehouse et le modèle de restauration à adopter pour les bases.

Plus d’informations sur son billet : https://blogs.technet.microsoft.com/kevinholman/2017/08/03/what-sql-maintenance-should-i-perform-on-my-scom-2016-databases/

Voici le récapitulatif des annonces faites par Microsoft concernant sa plateforme Microsoft Azure.

Parmi les annonces, on retrouve notamment :

General

• Microsoft a annoncé le support de Windows et SQL Server dans OpenShift ainsi qu’OpenShift Dedicated sur Azure.
• Microsoft devient membre d'IC3 : l'initiative pour les CyrptoCurrencies et Contracts. Microsoft a proposé Coco Framework afin de fournir un framework pour blockchain et assurer la confidentialité des transactions.
• 14 nouvelles offres Cloud sont proposées dans l’Azure MarketPlace : Denodo Platform, Kinetica (BYOL), Informatica Big Data Management 10.1.1. U2 (BYOL), Lumify, AppGate, NetConnect, SQLstream Blaze, CARTO Builder, vSEC :CMS C-Series, VU Application Server, Identity Orchestration and Management Portal
• Preview de la gestion du coût de l'entreprise dans le nouveau portail Azure. Les entreprises qui ont un Azure EA peuvent voir et analyser les coûts de l'abonnement sous différents angles directement depuis le portail.

Azure Storage

• Depuis le 31 août, le chiffrement du service de stockage (Storage Service Encryption) est activé par défaut pour les nouvelles données écrites dans des Blobs, Tables, Queues, et fichiers. Microsoft va chiffrer rétroactivement les données existantes. Ce changement sera effectif pour les comptes de stockage classiques ou ARM. Vous pouvez choisir entre des clés de chiffrement gérées par Microsoft ou par vous-même. Notez que le changement est transparent et ne demande aucun changement aux applications suivantes. Vous pouvez toujours demander à désactiver le chiffrement en contacter le support. Plus d’informations sur : https://docs.microsoft.com/en-us/azure/storage/storage-service-encryption
• Preview des événéments de stockage Azure Blob permettant à des applications de réagir à la création ou la suppression de blobs sans avoir à créer de code très compliqué. Les événements sont poussés dans un gestionnaire d’événements tels quel Azure Functions, Azure Logic Apps, etc.
• Archive Blob Public Preview d’Azure Storage et Blob-Level Tiering. Le premier permet aux entreprises de réduire un peu plus le coût du stockage pour des données qui sont utilisées très rapidement. La partie Blob-Level Tiering permet de gérer le cout du stockage au niveau de l’objet.

IaaS

• Désactivation de SMB v1 dans les images de système d’exploitation Windows présentes dans la galerie Azure. Ce changement est effectif dès maintenant et laisse donc le service désactivé par défaut. Plus d’informations sur : https://blogs.msdn.microsoft.com/azuresecurity/2017/08/18/disabling-server-message-block-version-1-smb-v1-in-azure/
• Disponibilité de Cloudbreak pour Hortonworks Data Platform sur Azure MarketPlace. CloudBreak permet de provisionner, configure et adapter facilement des clusters Horton Data Platform.
• Public Preview de Just-In-Time VM Access pour donner un accès temporaire et à la demande aux machines virtuelles en filtrant les adresses IP pouvant se connecter à distance. Cette fonctionnalité est incluse dans la Standard Tier d'Azure Security Center.

Enterprise Mobility + Security

• Support de l’accès conditionnel pour macOS par Microsoft Intune et Azure Active Directory. Ceci permet donc d’évaluer la conformité d’un périphérique via le portail d’entreprise de Microsoft Intune et de renvoyer l’état qui pourra être utilisé pour accéder aux différents services de l’entreprise.

Office 365

• Public Preview pour l'expiration automatique des groupes Office 365. Les employés peuvent créer des groupes Office 365 à la volée afin de collaborer entre collègues. Avec l'augmentation des groupes, cette fonctionnalité permet de gérer le cycle de vie en y associant une date d'expiration. Arrivée à la date d'expiration, il est demandé à l'utilisateur de le renouveler sous peine d'être définitivement supprimé.

Azure Active Directory

• Changement de la durée de vie par défaut des Tokens sur Azure Active Directory. Microsoft travaille pour réduire les fenêtres d’authentification et l’impact sur l’utilisateur en modifiant les paramètres des Tokens pour tous les nouveaux tenants Azure Active Directory :
  • Refresh Token Inactivity: 90 Jours
  • Single/Multi factor Refresh Token Max Age: Jusqu’à la révocation
  • Refresh token Max Age for Confidential Clients: Jusqu’à la revocation

Il est bien entendu possible de changer les valeurs par défaut.

• Public Preview du support d’Azure AD Domain Services par les réseaux virtuels ARM. Pour l’instant, la fonctionnalité n’est présente que pour les nouveaux domaines ou ceux dans une instance de test. Les domaines de production pourront être migrés via un mécanisme dédié qui sera proposé d’ici décembre 2017.
• Amélioration du reporting sur les erreurs de synchronisation avec Azure AD Connect Health :
  • Il n’est plus nécessaire d’avoir Azure AD Premium pour accéder au rapport sur les erreurs de synchronisation.
  • Le rapport inclut maintenant les erreurs dues à la fonctionnalité Duplicate Attribute Resiliency.
  • Ajout d’une catégorie dédiée pour les erreurs « FederatedDomainChange »

Note : Vous devez mettre à jour Azure AD Connect en version 1.1.281.0 ou plus.

Azure Information Protection

• Extension des listes de modèles prédéfinis pour automatiser la classification pour supporter plus de 80 types d’informations sensibles. Microsoft utilise la même liste dans Office 365 et le même moteur.
• Une nouvelle action de protection appelée « User defined permissions », une extension de l’action « Do not foward » permettant de mapper un label sur une protection ad-hoc par utilisateurs dans Word, Excel, PowerPoint, etc.
• L’activation de RMS est en disponibilité générale et permet de convertir les modèles RMS liés à des options « pre-defined template ».
• Il est possible de localiser les modèles RMS hérités.
• Suppression de la limitation bloquant l’édition des modèles par défaut.
• Mise à jour de la documentation relative au produit.

Operations Management Suite

• Disponibilité Générale de la solution de supervision des conteneurs (Container Monitoring) dans Log Analytics. Outre la disponibilité générale, on retrouve de nouvelles fonctionnalités donnant des informations sur les clusters kubernetes. La solution de supervision de conteneur permet de :
  • Voir des informations à propos de tous les hôtes de conteneurs depuis un seul emplacement
  • Connaître quels conteneurs sont en cours d’exécution, quelle image ils exécutent et où ils sont exécutés.
  • Voir un fil d'audit pour les actions sur les conteneurs.
  • Dépanner en visualisant et cherchant dans des journaux centralisés sans avoir à se connecter sur l’hôte Docker.
  • Trouver les conteneurs qui peuvent poser problème en consommant trop de ressources sur un hôte.
  • Voir de manière centralisée le CPU, la mémoire, le stockage et le réseau utilisé ainsi que les informations de performance sur les conteneurs.
• Intégration de Service Map avec System Center Operations Manager pour procéder à la création automatique d’applications distribuées sur la base des Service Maps détectées par OMS. Microsoft fournit pour cela un Management Pack en Public Preview.
• Public Preview d’une solution d’évaluation de la sécurité Web permettant d’analyser des serveurs Web IIS.
• Améliorations de la solution Network Performance Monitor avec :
  • Un page de diagnostic de l’agent pour voir l’état de santé et les problèmes de configuration.
  • Capacité de voir la latence entre deux points du réseau avec une séparation saut par saut.
  • Network Performance Monitor est maintenant disponible directement dans le portail Azure.
  • Ajout à la région West Central US.

Azure SQL

• Passage prochain du niveau de compatibilité par défaut à 140 (SQL Server 2017) pour les nouvelles bases de données dans Azure SQL Database.
• Preview du chiffrement de données transparent (TDE) avec le support de BYOK (Bring Your Own Key) pour Azure SQL Database et Azure SQL Data Warehouse.
• Public Preview de nouveaux niveaux de performances et composants additionnels de stockage :
  • Les niveaux de performances du Standard tier passe à 3000 DTUs avec différents niveaux.
  • De nouveaux niveaux Standard S4 à S12 offrent des niveaux spécifiques jusqu’à 3000 DTUs.
  • Auparavant la limite de taille de stockage était à niveau fixe lié au niveau de performance. Les entreprises peuvent maintenant acheter du stockage supplémentaire pour des bases de données seules ou des elastic pools sur les tiers Standard (0,085USD/GB/Mois) et Premium(0,170USD/GB/Mois).
• Azure Database pour MySQL et PostgreSQL sont disponibles dans les régions India.

Azure Government

• Azure Monitor est maintenant disponible dans Azure Government. Pour rappel, Azure Monitor est un service de supervision intégré des ressources Azure pour les utilisateurs Azure. Vous pouvez y retrouver des métriques, des journaux, etc.
• Limited Preview d'Azure Active Directory Premium sur US Government.

Autres services

• Preview de la vérification de connectivité par Azure Network Watcher.
• Disponibilité Générale d'Azure App Service sur Linux incluant la capacité Web App for Containers. Ceci permet d'avoir des images built-in pour ASP.NET Core, Node.js, PHP et Ruby sur Linux. Plus d'informations sur : https://azure.microsoft.com/fr-fr/blog/webapp-for-containers-overview/
• Ajout d’Azure Data Lake Store pour capturer des événements à partir d’Event Hubs Capture.
• Azure Monitor comprend de nouvelles fonctionnalités permettant de router les informations et métriques de diagnostic vers un compte de stockage, un namespace Event Hubs ou un workspaces Log Analytics.
• Private Preview de la détection d’anomalies basée sur du Machine Learning dans Azure Stream Analytics.
• Preview d'Azure IoT Device Provisioning Service permettant d'automatiser la connexion et la configuration du périphérique. Ce service permet d'apporter une approche provisionnement Zero-Touch vers l'IoT Hub.
• Possibilité d’utiliser des modèles Jupyter Notebook pour requêter de manière régulière les données de télémétrie et faire une analyse avancée qui peut être ensuite renvoyée à Azure Application Insights.
• Le designer Web d’Azure Analysis Services ajoute l’édition de modèle visuel en Preview. On retrouve donc un éditeur de diagramme qui permet véritablement de modifier les modèles visuellement.
• Version 1.2 des librairies de gestion Azure pour Java afin d’apporter le support de fonctionnalités de déploiement et de sécurité additionnels avec l’identité de service géré, le chiffrement du service de stockage, etc.
• Version 1.2 des librairies de gestion Azure pour .NET afin d’apporter le support de fonctionnalités de déploiement et de sécurité additionnels avec l’identité de service géré, le chiffrement du service de stockage, etc.
• Les outils HDInsight IntelliJ fournissent un moteur robuste de dépannage à distance pour des éléments s’exécutant dans le Cloud Azure.
• Des nouveautés sur Visual Studio Team Services avec
  • Une Preview du nouvel éditeur Release Definition Editor.
  • La visualisation du pipeline permet de voir graphiquement l’état des déploiements.
  • Les Artifacts, release triggers, approbations de pré déploiement et post déploiement, les propriétés de l’environnement et paramétrages de déploiement, sont configurables facilement dans l’interface graphique.
  • Application des modèles de déploiement.
  • Amélioration de l’éditeur de tâches et de phases.

Microsoft vient d’annoncer la version finale des baselines de paramétrages de sécurité pour Windows 10 1703 (Anniversary Update/RS2). On y retrouve les nouveaux paramétrages de cette nouvelle Build. Ces dernières s’utilisent avec Security Compliance Toolkit (SCT). Les lignes de base permettent de vérifier la conformité d’une application vis-à-vis des bonnes pratiques et recommandations Microsoft.

Voici les différences avec la baseline pour Windows 10 1607 :

• Désactivation du protocole Server Message Block (SMB) v1 en utilisant un fichier ADMX personnalisés afin que les paramétrages puissent être exposés par l’éditeur de stratégie de groupe.
• Suppression du paramétrage « Untrusted Font Blocking ». Microsoft a intégré de nombreux autres paramétrages qui mitigent et rend ce paramétrage non nécessaire. Pour en savoir plus sur la raison de cette suppression, rendez-vous sur : Dropping the “Untrusted Font Blocking” setting.
• Désactivation de VBScript dans Internet Explorer lors de la navigation sur les zones de sécurité Internet ou Restricted Site.
• Suppression du paramétrage “Network access: Do not allow storage of passwords and credentials for network authentication”. La configuration de ce paramétrage rend impossible la configuration d’une tâche planifiée qui a besoin d’un accès réseau authentifié avec un utilisateur et un mot de passe.
• Désactivation du support de TLS 1.0 pour les sites HTTPs dans Internet Explorer afin de n’autoriser que TLS 1.1 et 1.2.
• Désactivation des services Xbox et HomeGroup qui ne sont pas nécessaires dans le contexte d’entreprise.
• Exposition de deux paramétrages à travers l’ADMX personnalisé “MS Security Guide” pour forcer les protections des processus 32-bit et « Turn on Windows Defender protection against Potentially Unwanted Applications ».
• Suppression des paramétrages de sécurité qui empêche Internet Explorer d’utiliser des polices téléchargées sur Internet et les zones de sites restreints.
• Le forcement de l’User Rights Assignements par défaut à Generate security audits (SeAuditPrivilege) a été supprimé.
• Activation du paramètre “Do not suggest third-party content in Windows spotlight” dans User Configuration\Administrative Templates\Windows Components\Cloud Content.

Plus d’informations sur l’article suivant : https://blogs.technet.microsoft.com/secguide/2017/08/30/security-baseline-for-windows-10-creators-update-v1703-final/

Télécharger Windows 10 RS2 Security Baseline

Microsoft a publié un guide sur les mécanismes de sécurité présents dans Windows Server 2016. Les aspects suivants sont abordés :

• L’importance de la sécurité de Windows Server 2016
• Les Informations relatives à la prévention et à la détection des compromissions
• Comment construire une fondation sécurisée
• Comment protéger les identités privilégiées
• Comment durcir Windows Server
• Comment améliorer la protection contre les menaces
• Comment durcir les environnements Hyper-V

Télécharger Windows Server 2016 Security Guide

Microsoft a créé une vidéo de présentation de la fonctionnalité Windows AutoPilot de Windows 10. La vidéo montre notamment l’interface présente dans le Microsoft Store for Business. Pour rappel, Windows AutoPilot est l’équivalent du programme Apple Device Enrollment Program (DEP). Il permet de pré-provisionner des périphériques sans action particulière de la part de l’utilisateur. On peut donc acheter le périphérique et le faire livrer directement à l’utilisateur. Ce dernier le démarre et il se configure tout seul avec les éléments nécessaires pour l’entreprise.

Microsoft a publié un article dans sa base de connaissances pour décrire comment réaliser une capture du réseau depuis une séquence de tâches dans un environnement Windows PE. Ceci peut être très utile quand vous faites du déploiement de système d’exploitation avec Microsoft Deployment Toolkit (MDT) ou System Center Configuration Manager (SCCM). Cela peut aussi servir pour faire du dépannage. Prenez-le cas où vous devez déployer un système d’exploitation sur un réseau avec du 802.1x.

Vous devez donc :

1. Extraire l’installeur de Network Monitor dans un dossier
2. Récupérer les fichiers Netnm3.inf et Nm3.sys.
3. Monter l’image de démarrage et injecter le fichier Netnm3.inf
4. Copier le dossier Microsoft Network Monitor 3 dans le dossier où l’image de démarrage est montée.
5. Copier le fichier Nm3.sys dans les répertoires spécifiques du système.
6. Démonter et valider l’image de démarrage.
7. Mettre à jour l’image de démarrage sur votre infrastructure Configuration Manager ou MDT.
8. Démarrer avec l’image de démarrage. Charger l’invite de commande et dans le dossier Microsoft Network Monitor 3, exécutez les commandes d’installation Nmconfig.exe /install puis Netmon.exe

Plus d’informations sur la KB4034393 How to get network captures from a task sequence in Windows PE

Microsoft a officiellement annoncé la fin de support et de service pour Windows 10 1511. Ceci est effectif depuis le 27 juillet 2017 et vous devez migrer très rapidement vers une version plus récente (1607, 1703). Microsoft ne publiera plus de mises à jour de sécurité à partir du 10 octobre 2017.

Source : https://support.microsoft.com/en-us/help/4036927/windows-10-version-1511-end-of-service-for-cb-and-cbb-july-27-2017

Microsoft va tenir un Webinar sur l’intégration de la solution de sécurité Check Point Sandblast avec Microsoft Intune. La solution permet de sécuriser les périphériques mobiles des menaces avancées afin d’assurer la conformité du périphérique pour accéder aux ressources d’entreprise.

Il y a deux créneaux :

• Americas: Wednesday, September 13 – 10:00 am (PT)
• Europe + Asia: Wednesday, September 13 – 10:00 am (CEST)

Microsoft vient de publier une nouvelle version du client ConfigMgr pour les serveurs UNIX/Linux. Cette version (5.0.7958.2432) peut être utilisée pour System Center Configuration Manager 2012 SP1, SP2, R2 SP1 et Current Branch.

Elle ajoute le support d’Ubuntu 16.04 (x86/x64). Elle retire le support de AIX version 5.3, Solaris version 9, HP-UX on PA-RISC hardware, HP-UX version 11iv2, et SLES version 9 qui ne sont plus supportés par les vendeurs.

Enfin, on retrouve diverses corrections de bugs.

Télécharger Microsoft System Center Configuration Manager - Clients for Additional Operating Systems

Microsoft vient d’annoncer la mise à disposition d’un nouvel ensemble de fonctionnalités pour Microsoft Intune.

Les fonctionnalités suivantes sont ajoutées :

Enregistrement

• Amélioration à la vue Device Overview qui affiche maintenant maintenant les périphériques enregistrés mais exclue ceux gérés par Exchange ActiveSync. Ces périphériques n’ont pas les mêmes options de gestion que ceux enregistrés.

Gestion des périphériques

• Amélioration de l’inventaire collecté par Intune avec les informations suivantes :
  • Pour Android, vous pouvez ajouter une colonne à l’inventaire de périphérique afin de montrer le dernier niveau de patch (Security patch level) de chaque périphérique.
  • Vous pouvez maintenant filtrer les périphériques par la date d’enregistrement (exemple les périphériques enregistrés après une certaine date).
  • Amélioration du filtre Last Check-in Date.
  • Dans la liste de périphérique, vous pouvez afficher le numéro de téléphone des périphériques d’entreprise. Vous pouvez aussi filtrer sur cet attribut.
• Support de l’accès conditionnel pour les périphériques Mac. Vous pouvez maintenant configurer des stratégies d’accès conditionnel demandant à ce que le Mac soit enregistré dans Microsoft Intune et conforme aux stratégies. L’utilisateur doit pour cela, télécharger l’application portail d’entreprise pour macOS et enregistrer leur Mac dans Intune. Intune évalue alors la conformité comme le PIN, le chiffrement, la version du système et l’intégrité du système. Ce support est apporté pour macOS 10.11+, Safari et les applications Office 2016 pour Mac en version
  • Outlook v15.34 and later
  • Word v15.34 and later
  • Excel v15.34 and later
  • PowerPoint v15.34 and later
  • OneNote v15.34 and later

• Nouveaux paramétrages de restriction Windows 10 dans les catégories :
  • Windows Defender SmartScreen
  • App store

• Mise à jour du profil de paramétrages BitLocker dans Windows 10 endpoint protection device:
  • Quand vous sélectionnez Block sur le paramétrage BitLocker with non-compatible TPM chip, ceci engendrait en réalité l’autorisation de BitLocker.
  • Le paramétrage Certificate-based data recovery agent permet de bloquer explicitement certificate-based data recovery agent. Par défaut, l’agent est autorisé.
  • Sous BitLocker fixed data-drive settings pour l’agent data recovery, vous pouvez maintenant explicitement bloquer l’agent de restauration de données.

Gestion des applications

• Une nouvelle expérience de connexion pour le portail d’entreprise Android. Celle-ci permet de voir les applications, gérer les périphériques et voir les informations du service informatique sans avoir à enregistrer le périphérique Android dans la solution d’administration. Si un utilisateur a déjà une application protégée par les stratégies de protection des applications et qu’il lance le portail d’entreprise Android, il n’est pas non plus incité à enregistré son périphérique.
• Support des identités multiples (personnels et professionnels) pour OneNote pour iOS.

En outre, on retrouve les changements suivants :

• Changement des adresses IP utilisées par Microsoft Intune : https://docs.microsoft.com/en-us/intune/network-bandwidth-use
• Remplacement du rôle d’administration pour la partie Mobile Application Management par RBAC dans le nouveau portail Azure.

Plus d’informations sur : https://docs.microsoft.com/en-us/intune/whats-new

Microsoft planifie la migration des paramétrages Apple’s Device Enrollment Program (DEP), Volume Purchase Program (VPP), et les gestionnaires d’enregistrement de périphérique (DEM) vers Microsoft Intune sur Azure. Cette migration aura lieu entre le lundi 11 et vendredi 22 septembre 2017.

Si vous n’utilisez pas ces éléments ou vous ne comptez pas les utiliser dans le mois à venir, vous n’êtes pas concernés.

Dès lors que les paramétrages auront été migrés, il ne sera possible de les utiliser que depuis Intune sur Azure. Après la migration, vous aurez besoin d’assigner un profil avant d’activer les périphériques DEP. Pour la fonctionnalité VPP, vous allez devoir suivre les instructions pour activer le token VPP. De plus, le portail Azure ne supporte pas le profil d’enregistrement de périphérique d’entreprise par défaut pour les périphériques DEP.

Microsoft vient d’annoncer le support d’Android Oreo (8.0) par Microsoft Intune et System Center Configuration Manager et ce dès la sortie du système. Les utilisateurs peuvent donc mettre à jour leur téléphone sans craindre de mettre en péril la gestion du périphérique. Tous les scénarios ont été testés (MDM, MAM, etc.)

On retrouve plusieurs considérations :

• Vous devez mettre à jour le portail d’entreprise à partir du Google Play Store.
• Les permissions pour les sources inconnues (Unknown Sources) ont été déplacées. Ceci peut être nécessaire si vous devez déployer des applications métiers (APK) sans Android for Work. Dans les précédentes versions, le paramètre était défini au niveau du périphérique. A partir d’Android O, les permissions « Install Unknown apps » est gérées par application. Pour cela, vous devez naviguer dans Settings > Apps & notifications > Special app access > Install unknown apps > Company Portal
• Le paramétrage de conformité Block apps from unknown sources ne fonctionne pas sur Android 8.0. Ceci est dû au changement de comportement pour les sources inconnues. Il n’est plus possible pour le portail d’entreprise de détecter si la permission a été attribuée.

Plus d’informations sur : https://blogs.technet.microsoft.com/intunesupport/2017/08/21/android-8-0-o-behaviour-changes-and-microsoft-intune/

Source : https://blogs.technet.microsoft.com/enterprisemobility/2017/08/21/microsoft-intune-provides-support-for-android-oreo/

Microsoft a publié un correctif pour le Management Pack embarqué dans System Center 2016 Operations Manager concernant le problème de supervision de l’état de santé WMI.

En l’occurrence le moniteur WMI health ne fonctionnait pas dans les conditions suivantes :

• WinRM est configuré pour utiliser HTTPS uniquement
• Le Service Principal Name (SPN) était enregistré avec http/servername sur le compte utilisateur

Le problème provenait du protocole utilisé par le script qui engendrait des échecs. En lieu et place, il utilise maintenant le protocole DCOM comme dans SCOM 2012 R2.

Microsoft a mis à jour les packs intégrés suivants qui doivent donc être mis à jour par un import :

• SystemCenter.2007.mp - 7.2.11907.0
• SystemCenter.Internal.mp 7.0.8437.10

Télécharger Microsoft System Center Operations Manager 2016 inbox MP hotfix for WMI health monitor issue

Au mois d’août, Microsoft a publié un nouveau bulletin de sécurité avec les mises à jour associées. Ce dernier a engendré une augmentation de l’utilisation CPU et mémoire sur les serveurs WSUS (toutes versions). Ceci a aussi touché les environnements System Center Configuration Manager qui utilisaient la fonctionnalité de gestion des mises à jour logicielles (SUM).

Le problème a été engendré par les mises à jour de Windows 10 1607 (par exemple KB4022723, KB4022715, KB4025339, etc) ou Windows 10 1511. Ces mises à jour contiennent un grand nombre d’éléments pour les métadonnées des paquets dépendants (enfants) car ils regroupent un grand nombre de binaires. Windows 10 1703 n’est pas touché car plus récent et ne dispose pas de packages aussi larges.

Dans ce cas de figure, vous observez :

• Une forte utilisation du CPU de 70 à 100% par le processus w3wp.exe qui héberge WsusPool
• Une consommation mémoire importante par le processus w3wp.exe qui héberge WsusPool (jusqu’à 24 GB)
• Un recyclage constant de w3wp.exe qui héberge WsusPool (identifiable par le PID)
• Les clients échouent le scan des mises à jour et renvoient des timeouts (8024401c) dans le fichier WindowsUpdate.log
• De nombreuses erreurs 500 pour des requêtes sur /ClientWebService/Client.asmx dans les fichiers de journalisation IIS.

Note ce problème peut aussi survenir si vous avez trop de mises à jour remplacées. Dans ce cas la procédure est différente. Voir The Complete Guide to Microsoft WSUS and Configuration Manager SUP maintenance

Outre les mises à jour à appliquer si après, vous pouvez augmenter le timeout d’ASP.NET et superviser les métadonnées WSUS. Pour en apprendre plus sur l’origine du problème et les autres éléments qui peuvent être mis en place : https://blogs.technet.microsoft.com/askcore/2017/08/18/high-cpuhigh-memory-in-wsus-following-update-tuesdays/

Télécharger :

• Windows Server 2016 (KB4039396)
• Windows Server 2012 R2 (KB4039871)
• Windows Server 2012 (KB4039873)
• WSUS 3.0 SP2 (KB4039929)

Microsoft propose un événement de questions/réponses sur Windows 10 dans le monde de l’éducation. Cet évènement aura lieu le jeudi 31 août de 18h à 19h (heure française). Ask Microsoft Anything est une belle opportunité pour poser des questions sur Windows 10 avec les sujets suivants :

• Les configurations recommandées et les bonnes pratiques de déploiements pour les périphériques Windows 10 dans le monde de l’éducation.
• Le provisionnement des périphériques et l’application Set up School PCs
• La gestion des périphériques avec Microsoft Intune for Education
• Microsoft Store for Education
• Microsoft School Data Sync
• La différence entre Windows 10 Pro for Education, Windows 10 Pro et Windows 10 S.

Vous devez être membre de Tech Community pour poster vos questions via l’adresse : http://aka.ms/community/Windows10

Source : https://blogs.technet.microsoft.com/windowsitpro/2017/08/16/save-the-date-windows-10-for-education-ama-on-august-31st/

Microsoft vient de publier une Public Preview (1.0.0.6) du pack d’administration ou Management Pack (MP) SCOM pour Operations Management Suite (OMS) afin d’apporter une intégration avec Service Map. Cette intégration permet de créer dynamiquement des applications distribuées à partir des system maps. Elle ne fonctionne qu’avec System Center 2012 R2 Operations Manager et plus. Pour rappel, System Center Operations Manager (SCOM) fait partie de la gamme System Center, il propose une supervision souple et évolutive de l’exploitation au niveau de toute l’entreprise, réduisant la complexité liée à l’administration d’un environnement informatique, et diminuant ainsi le coût d’exploitation. Ce logiciel permet une gestion complète des événements, des contrôles proactifs et des alertes, et assure une gestion des services de bout en bout. Il établit des analyses de tendance et des rapports, et contient une base de connaissances sur les applications et le système.

Pour rappel, Service Map découvre les composants des applications sur Windows et Linux et map les communications entre les différents services afin de voir les interconnexions entre systèmes.

Lisez le guide associé au Management Pack pour mettre en œuvre la supervision et activer les règles nécessaires.

Télécharger System Center Operations Manager Management Pack for Operations Management Suite (OMS) Service Map integration - Public Preview

Microsoft a communiqué sur les prochains mécanismes de sécurité qui seront présents dans Windows 10 1709 ou Fall Creators Update. Ces derniers viennent enrichir la gamme Windows Defender et les différents bundles proposés par Microsoft.

Parmi les nouveautés, on retrouve :

• Windows Defender Application Guard (WDAG) permettant d’isoler Microsoft Edge dans un environnement conteneurisé. Ceci évite qu’un logiciel malveillant qui exécute du code à partir du navigateur puisse se propager au système. Cette fonctionnalité nécessite Hyper-V pour fonctionner et par conséquent le matériel adéquat.
• Windows Defender Exploit Guard (WDEG) est l’équivalent d’Enhanced Mitigation Experience Toolkit directement inclus dans Windows 10. Il permet de se protéger contre certaines techniques communément utilisées pour l’exploitation de vulnérabilités. Cette solution de type Host Based Intrusion Prevention System (HIPS) s’intègre au Microsoft Intelligent Security Graph pour réduire la surface d’attaque avec des règles intelligentes.

Parmi les services déjà implémentés mais qui comportent des nouveautés, on retrouve Windows Defender Advanced Threat Protection (ATP) est une solution d’analyse, d’investigation et de réponse (forensic) permettant d’améliorer la détection et l’alerting, d’offrir des actions de réponse et d’offrir une vision courante des attaques possibles. Cette version est complétée par les éléments suivants :

• Les alertes Windows Defender SmartScreen sont visibles dans la console afin de voir si un utilisateur a cliqué sur une URL en dépit des avertissements.
• Les détections et actions réalisées par l’antivirus Windows Defender ainsi que les connexions bloquées par le pare-feu sont affichées dans la console.
• Les événements Device Guard mettant en avant les applications non autorisées qui ont été bloquées ainsi que les informations d’audit ou de blocage provenant de Windows Defender Exploit Guard sont proposées dans la console.
• De la même façon, les alertes et événements de Windows Defender Application Guard sont rapatriées dans la console.
• Il va devenir possible d’activer à la demande Device Guard sur un périphérique donné directement depuis la console ATP. De la même façon, il sera possible de générer automatique la liste des applications autorisées basée sur la réputation des applications.
• En outre, on retrouve de nouveaux indicateurs d’attaques (IoA) comme des règles de détections pour des attaques basées sur des scripts dynamiques, de l’exploration réseaux ou des alertes de Key Koggers.
• De nouvelles vues sont proposées pour les opérationnels de sécurité.
• On retrouve de nouvelles APIs permettant d’intégrer les SIEM ou obtenir des informations.
• Enfin, la solution est étendue à Windows Server 2012 R2 et 2016 ainsi que d’autres plateformes qui vont au-delà de Windows (sans plus de détails)

Une vidéo de présentation de Windows Defender Application Guard:

Lire un showcase Microsoft IT sur Windows Defender ATP.

Source : https://blogs.technet.microsoft.com/mmpc/2017/06/27/whats-new-in-windows-defender-atp-fall-creators-update/

Microsoft a annoncé la dépréciation du catalogue d’applications Silverlight de System Center Configuration Manager en décembre dernier. Maintenant on sait que ce catalogue sera retiré avec la première version de Configuration Manager publiée en 2018.

Il est donc recommandé de passer par le nouveau Centre Logiciels/Software Center qui inclut nativement les capacités de déploiement en libre-service sur l’utilisateur. Vous pouvez l’activer par défaut via les paramétrages du client dans Computer Agent > Use new Software Center.

Le retrait de la partie Silverlight du catalogue d’applications ne veut pas dire que les rôles puisque le nouveau centre logiciel se base sur ces derniers :

• Application Catalog Web Service Point
• Application Catalog Web Site Point

Source : https://docs.microsoft.com/en-us/sccm/core/plan-design/changes/removed-and-deprecated-features

Microsoft est en train de publier de nouveaux cours MOC sur System Center Configuration Manager.

On retrouve les deux cours suivants :

• 20703-1A: Administering System Center Configuration Manager (Déjà disponible)
• 20703-2A: Integrating MDM and Cloud Services with System Center Configuration Manager (A partir du 17 octobre 2017)

Ces cours vont remplacer le cours 20696C: Administering System Center Configuration Manager and Intune.

J’ai rencontré un problème avec l’installation du client System Center Configuration Manager qui touche toutes les versions à partir de la 1602 pour des machines Windows Server 2008 SP2 ou Windows 7 SP1.

Le problème peut subvenir dans toutes les situations :

• Installation du client sur une machine existante.
• Installation du client lors du déploiement de système d’exploitation (OSD)

En regardant le fichier ccmsetup.log, vous pouvez voir :

MSI: Action 17:56:36: Rollback. Rolling back action:

File C:\Windows\ccmsetup\{CA4329EC-A4F5-4E5E-A9FE-EFAAE88B0D67}\client.msi installation failed. Error text: ExitCode: 1603

En regardant le fichier ClientMSI.log, vous pouvez observer :

Compiling Sql CE script file: C:\Windows\CCM\StateMessageStore.sqlce into database C:\Windows\CCM\StateMessageStore.sdf

ERROR: Failed to execute SQL statement:

            DROP TABLE CCM_StateMsg;

        with error (0x80040e37).

WARNING: Failed to compile

            DROP TABLE CCM_StateMsg;

        . Error code = 0x80040e37.

This script is marked as ignore on failure. Continue with other scripts.

Action ended 17:56:36: InstallFinalize. Return value 3.

…

MSI (s)    128 (0x80)    Product: Configuration Manager Client -- Installation operation failed.

MSI (s)    128 (0x80)    Windows Installer installed the product. Product Name: Configuration Manager Client. Product Version: 5.00.8458.1000. Product Language: 1033. Installation success or error status: 1603.

Pour résoudre ce problème, vous devez installer manuellement la mise à jour suivante KB3179560 Update for Visual C++ 2013 and Visual C++ Redistributable Package

Dans le cas du déploiement de système d’exploitation, vous devez installer la mise à jour avant de procéder à l’installation du client et donc avant l’étape Setup Windows and Configuration Manager.

Source : KB4015968 Installation of Configuration Manager Client current branch 1602 to 1702 or LSTB version 1606 fails in Windows Server 2008 SP2

Brad Watts (PFE MSFT) a publié un billet visant à étendre l’Operations Management Suite (OMS) avec des informations provenant de System Center Configuration Manager. Il utilise pour cela l’API d’ingestion OMS et exécute des requêtes sur la base Configuration Manager qu’il convertit au format JSON.

Il fournit un script d’exemples

Plus d’informations sur son billet : https://blogs.technet.microsoft.com/askpfeplat/2017/06/26/extending-oms-with-sccm-information/

Windows Server 2016 intègre une base partagée à Windows 10 1607. Pour cette raison, Microsoft a mis à jour la page de suivi des versions et mises à jour pour intégrer Windows Server 2016 au travers des différentes Builds et KB qui peuvent être publiées.

Vous pouvez donc suivre les corrections inclues ainsi qu’éventuellement les problèmes connues et détectées pour une mise à jour donnée.

La page est donc à garder en favoris : Windows 10 and Windows Server 2016 update history

Il y a quelques mois, Microsoft publiait un article dans la base de connaissances concernant System Center Configuration Manager et le niveau de compatibilité à adopter pour la base de données de site en fonction de la version de SQL Server utilisée. Ainsi, il n’était pas garanti que l’exécution de Configuration Manager sur SQL Server 2016 avec le niveau de compatibilité associé, offre les meilleures performances.

Beaucoup d’entreprise ont adapté le niveau de compatibilité en conséquence. Microsoft a néanmoins fait les adaptations nécessaires sur le code de System Center Configuration Manager 1610 pour que les requêtes s’exécutent au mieux en fonction de la version.

Outre ces changements, Microsoft a introduit une routine qui vise à changer le niveau de compatibilité (Database Compatibility Level) lors de la mise à niveau du site via la fonctionnalité intégrée à la console Updates and Servicing :

• Le produit configure le niveau de compatibilité au niveau le plus adéquat (exemple : Pour SQL Server 2016 => Niveau de compatibilité à 130).
• SI vous faites la mise à niveau de SQL Server après l’installation ou la mise à niveau, aucun changement n’est détecté et effectué. Le changement aura lieu à la prochaine mise à niveau.

Il se peut que dans de rares cas, un niveau de compatibilité plus bas soit encore requis. Dans ce cas, il faudra penser à changer le niveau de compatibilité après chaque mise à niveau de site.

Microsoft a annoncé des changements sur le moteur de mise à niveau de Windows 10 par le biais de son application Feedbacks. Ces changements seront effectifs à partir de Windows 10 1709 (Fall Creators Update). Le but est de réduire le temps d’indisponibilité du système en passant certaines opérations dans la phase en ligne pour que l’utilisateur puisse continuer à travailler

Auparavant, on retrouvait les opérations suivantes :

• Phase en ligne (système chargé)
  • Le PC vérifie les mises à jour (manuellement ou automatiquement)
  • Téléchargement les mises à jour du média
  • Le PC attend le redémarrage requis pour lancer l’installation
• Phase hors ligne
  • Le PC redémarre et lance le processus d’installation (manuellement ou automatiquement)
  • Le contenu utilisateur (apps/settings/configurations) est sauvegardé
  • Les nouveaux fichiers du système sont déposés
  • Les Drivers et les autres fichiers systèmes sont migrés.
  • Le contenu utilisateur est restauré.
  • Le PC redémarre et finalise la mise à niveau

Le nouveau processus est le suivant :

• Phase en ligne (système chargé)
  • Le PC vérifie les mises à jour (manuellement ou automatiquement)
  • Téléchargement des mises à jour
  • Le contenu utilisateur (apps/settings/configurations) est sauvegardé
  • Les nouveaux fichiers du système sont déposés
  • Le PC attend le redémarrage requis pour lancer l’installation
• Phase hors ligne
  • Le PC redémarre et lance le processus d’installation (manuellement ou automatiquement)
  • Les Drivers et les autres fichiers systèmes sont migrés.
  • Le contenu utilisateur est restauré.

L’équipe Intune a publié un billet pour préciser le comportement des informations affichées dans le portail Microsoft Intune dans Microsoft Azure et notamment les applications découvertes/inventoriées. La vue Discovered Apps présente sur chaque périphérique enregistré dans Microsoft Intune offre une vision des applications renvoyées lors du dernier inventaire matériel avec :

• Les applications déployées par Microsoft Intune uniquement si le périphérique est marqué comme Personal
• Toutes les applications si le périphérique est marqué comme Corporate.

Sachez que l’inventaire est réalisé tous les 7 jours et la liste des applications peut ne pas refléter la réalité à la date de visualisation.

Source : https://blogs.technet.microsoft.com/intunesupport/2017/07/17/discovered-apps-node-in-microsoft-intune-on-azure-console/