Microsoft vient de publier le premier Patch Tuesday de l'année. Il comporte 9 bulletins de sécurité dont 6 bulletin qualifiés de critique. Il corrige uniquement des vulnérabilités de Windows.

Légende :

 : Bulletin Critique          : Bulletin Important           : Bulletin Modéré

Retrouvez l'ensemble des informations relatives à ce bulletin de sécurité : Ici

L’équipe DPM vient de publier un billet sur Microsoft Azure Backup concernant un problème lors de l’exécution d’un job de sauvegarde. Dans Azure Backup, vous recevez l’erreur suivante :

Backup has encountered an irrecoverable error. Contact Microsoft Support for further assistance. (0x086C8)

Job failed with error (Operation failed.(0x086C8)

Le journal d’évenements CloudBackup contient un évenement 11 :

The description for Event ID 11 from source CloudBackup cannot be found. Either the component that raises this event is not installed on your local computer or the installation is corrupted. You can install or repair the component on the local computer.
If the event originated on another computer, the display information had to be saved with the event.
The following information was included with the event:
<?xml version="1.0"?>
<CBJob><JobId>84d3f434-df64-4595-af6e-xxxxxxxxxxxx</JobId><JobType>Backup</JobType><JobStatus><JobState>Aborted</JobState><StartFileTime>

1308740310939xxxxx</StartFileTime><EndFileTime>1308740393522xxxxx</EndFileTime><FailedFileLog>
</FailedFileLog><ErrorInfo><ErrorCode>34504</ErrorCode><DetailedErrorCode>-2146233088(or)2137452629</DetailedErrorCode><ErrorParamList><CBErrorParam><Name>DLS_ERROR_CODE_NAME</Name>
<Value>34504</Value></CBErrorParam><CBErrorParam><Name>__ErrorSource__</Name><Value>
Service/None/Client</Value></CBErrorParam></ErrorParamList></ErrorInfo><DatasourceStatus>
<CBDatasourceStatus><JobState>Aborted</JobState><LastCompletedJobState>PreparingMedia
</LastCompletedJobState>…

Dans le fichier CBEngine.log, vous observez :

12E4        1488        <Date/Time>        71        prepunmanagedutils.h(120)                84D3F434-DF64-4595-AF6E-F7A271EC0581        WARNING        Error occurred, DlsErrorCode - 34504, Exception - FMException: [ErrorCode:SalMetadataVhdCorrupt, DetailedCode:0, Source:Service/None/Client, Message:Corruption is detected. FMException: [ErrorCode:SalMetadataVhdCorrupt, DetailedCode:0, Source:None, Message:Corruption is detected.]

Pour corriger ce problème, vous devez installer l’agent Microsoft Azure Recovery Services en version 2.0.9022.0 ou plus.

Source : http://blogs.technet.com/b/dpm/archive/2016/01/07/support-tip-microsoft-azure-backup-job-fails-with-irrecoverable-error-0x086c8.aspx

A l’occasion du Citrix Summit 2016 à Las Vegas, Citrix a annoncé le rachat des Management Packs System Center Operations Manager de Comtrade pour les solutions Citrix. Auparavant Citrix fournissait des Management Packs qui ont été finalement abandonnés de par leur vétusté. Cette annonce permet à Citrix de se donner des armes pour le choix de sa solution afin de compléter son offre.

Voici le communiqué : http://www.comtradeproducts.com/news/citrix-acquires-comtrades-scom-management-packs-ip/

L’équipe OpsMgr a publié un billet concernant le problème qui fut adressé dans l’Update Rollup 7 de System Center 2012 R2 Operations Manager. Ce dernier corrige un problème dans le nettoyage du Data Warehouse empêchant la suppression des évènements dans certaines tables (MT$X$Y) dépendantes.

Le correctif empêche que le problème continue mais il ne supprime pas les données orphelines des tables EventParameter.

Pour cela, vous pouvez suivre le billet : http://blogs.msdn.com/b/nicole_welch/archive/2016/01/07/scom-2012-large-event-parameter-table-s.aspx

Matt Shadbolt [MSFT] a publié un très bon billet présentant la capacité de faire coexister Microsoft Intune et la solution de gestion de périphériques mobiles intégrée à Office 365. Son article présente les différents éléments pour activer et gérer la coexistence.

Ainsi un utilisateur qui n’a pas de licence Microsoft Intune et/ou EMS et qui a une licence Office 365 se voit automatiquement géré par la solution de MDM d’Office 365. A contrario si l’utilisateur a une licence Office 365 et EMS/Microsoft Intune, il est géré par Microsoft Intune.

Plus d’informations sur : https://blogs.technet.microsoft.com/configmgrdogs/2016/01/04/microsoft-intune-co-existence-with-mdm-for-office-365

Microsoft a publié un très bon billet d’introduction décrivant la création de runbooks textuels et graphiques dans Azure Automation.

Vous y retrouvez les bases et concepts de chaque méthode pour une première initiation au produit.

Lire Azure Automation: Graphical and textual runbook authoring

Michael Niehaus (MSFT) vient de mettre à jour son script permettant de supprimer les applications présentes par défaut sur Windows 10 via le processus de déploiement de système d’exploitation et les séquences de tâches. Cette mise à jour corrige notamment les problèmes suivants :

• Un bug empêche le script de fonctionner correctement hors ligne quand aucun fichier RemoveApp.xml n’est présent (demandant au script de générer dynamiquement la liste).
• Modification de la logique permettant de localiser le fichier RemoveApps.xml. Il charge maintenant le fichier à partir du répertoire de travail de PowerShell courant.

Il existe un problème lors de l’exécution du script dans Windows PE 1511, ceci est un problème générique relatif à la version de Windows PE.

Pour plus d’informations, rendez-vous sur son blog : http://blogs.technet.com/b/mniehaus/archive/2015/12/31/updated-remove-apps-script-and-a-workaround.aspx

Pour télécharger le script, référez-vous au billet : Removing Windows 10 in-box apps during a task sequence

Microsoft vient d’annoncer le support limité de la déduplication de données pour un certain scénario VDI avec Hyper-V. Elle concerne une configuration hyper convergée qui utilise un seul serveur ou un cluster pour héberger du VDI avec du stockage local. Il est ainsi possible de planifier la déduplication dans une fenêtre de temps où la charge de travail est inactive.

Vous devez répondre aux prérequis suivants :

• Un serveur ou un cluster Hyper-V avec Windows Server 2012 R2 avec l’update Rollup de Novembre 2014 ou plus
• Les VHDs des machines virtuelles doivent être stockées sur des volumes de données attachés localement. Dans le cadre de Cluster, les volumes doivent être montés comme volumes partagés de cluster (CSV)
• La déduplication de données est activée sur ces volumes de données locaux
• Toutes les tâches de déduplication sont planifiées pour être exécutée lorsque la charge est inactive (Machines virtuelles en pause)
• La supervision des performances doit être fait en accord avec la procédure suivant : http://blogs.technet.com/b/filecab/archive/2014/12/04/sizing-volumes-for-data-deduplication-in-windows-server.aspx

Plus d’informations sur le billet : http://blogs.technet.com/b/filecab/archive/2016/01/05/new-support-for-windows-server-data-deduplication-in-limited-local-hyper-v-configurations.aspx

Comme vous le savez, Microsoft arrête le support des versions antérieures à Internet Explorer 11. Ainsi au 12 Janvier, Microsoft ne supportera plus Internet Explorer 8, 9, et 10. Un dispositif spécifique va être mise en place lors du Patch Tuesday de ce mois afin d’afficher un avertissement via un onglet à l’ouverture du navigateur pour rappeler la nécessiter de migrer vers Internet Explorer 11. Ceci sera déployé au travers du dernier Cumulative Update pour ces versions du navigateur. La notification sera affichée à l’ouverture 72 heures après sa dernière apparition.

Pour les entreprises qui ne sont pas encore passée à cette version, Microsoft vous permet de bloquer la notification pour éviter que les utilisateurs soient gênés. Pour cela, vous devez ajouter une nouvelle clé dans la base de registre au niveau de HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\FeatureControl

Vous devez alors créer la clé FEATURE_DISABLE_IE11_SECURITY_EOL_NOTIFICATION. Ensuite sous cette clé, vous devez créer la valeur DWORD (32-bit) iexplore.exe et placer la valeur à 1.

Plus d’informations sur la KB3123303 The new "End of Life" upgrade notification for Internet Explorer

Des PFEs Microsoft ont publié un article permettant de décrire comment configurer la supervision de serveurs Edge Skype for Business ou Lync avec System Center 2012 Operations Manager. L’article revient sur les points suivants :

• Le choix de l’utilisation d’une Gateway
• La création d’un modèle de certificat
• Lé création du certificat pour le Management Server
• L’utilisation de l’outil MOMCertImport
• La création du certificat pour le serveur Edge
• L’installation de l’agent
• L’activation du mode proxy
• La délégation des droits nécessaires sur les groupes Skype/Lync

Plus d'informations sur : https://blogs.msdn.microsoft.com/canberrapfe/2016/01/06/how-to-setup-monitoring-of-your-skype-for-business-or-lync-edge-servers-with-operations-manager-2012/

Microsoft vient d’annoncer la mise à disposition d’un nouvel ensemble de fonctionnalités pour Microsoft Intune. Ces dernières seront mises à disposition entre le 6 janvier au 14 janvier en fonction de votre zone/serveur de rattachement.

Les fonctionnalités suivantes ne s’appliquent qu’à Intune seul :

• Support de nouvelles fonctionnalités Windows 10
  • Vous pouvez maintenant ajouter des règles additionnelles pour les stratégies de conformité de l’accès conditionnel. Ceci s’applique aux périphériques Windows 10 qui ont renvoyés un état conforme via le Health Attestation Service afin d’obtenir l’accès à des ressources d’entreprise. Vous pouvez par exemple vérifier Bitlocker, l’intégrité du code, le démarrage sécurisé, etc.
  • Vous pouvez configurer des stratégies Microsoft Passport for Work (PIN ou prérequis Windows Hello) pour les périphériques Windows 10 enregistrés dans Intune. Vous pouvez aussi déployer des certificats dans le conteneur Passport for Work. Ceci est déjà disponible dans System Center Configuration Manager 2012 SP2/R2 SP1
  • Vous pouvez définir une liste d’applications dans le profile VPN de Windows 10 afin que lors du lancement des applications de cette liste, la connexion VPN soit initiée. Vous pouvez aussi brider pour que la connexion VPN ne soit disponible que pour les applications définies dans la liste.
  • Des paramètres de stratégies additionnels pour Surface Hub peuvent être configuré via le modèle : General Configuration (Windows 10 Team and later)
  • Il est maintenant possible de faire un effacement à distance complet des périphériques Windows 10 Desktop enregistrés dans Microsoft Intune. L’effacement sélectif était déjà proposé.
• Intégration avec le programme Apple Volume Purchase Programm (VPP) permettant de synchroniser, déployer et traquer les installations d’applications que vous avez pu faire avec le programme VPP.
• Amélioration du support des scénarios Corporate-owned device permettant de d’identifier ces périphériques en pré-déclarant les numéros IMEI dans le console Intune. Ainsi quand un périphérique identifié est enregistré, il est automatiquement marqué comme Corporate. Ceci peut par exemple vous permettre de mettre des stratégies plus restrictives.
• Support de Microsoft MyApps le portail central avec toutes les applications SaaS directement depuis l’application Intune Managed Browser (Android) afin d’accéder aux applications SaaS en SSO, ou de faire une réinitialisation du mot de passe.
• Nouveau paramètre pour les périphériques Android 5.x permettant de configurer le Smart Lock afin d’empêcher un utilisateur d’outrepasser l’écran de verrouillage sur une périphérique enregistré dans Intune.
• Amélioration du portail d’entreprise pour les périphériques iOS :
  • Une coche indique l’état du périphérique de l’utilisateur
  • Les utilisateurs peuvent maintenant choisir de basculer vers l’application Mail (ainsi que Microsoft Outlook) afin d’envoyer les rapports de diagnostique au help desk.
  • Le support a été amélioré pour les périphériques enregistrés au travers du programme Apple DEP.

Source : http://blogs.technet.com/b/microsoftintune/archive/2016/01/06/coming-soon-support-for-new-windows-10-features-and-apple-vpp-for-business.aspx

Depuis plusieurs années, je profite de ce billet sur les vœux pour faire un bilan de l’année. Et en faisant une revue des précédentes années, on peut dire que Microsoft a su créé la surprise ! Des Windows Phone, en passant par Windows 10 jusqu’au Surface Book, c’est une année d’innovation. Sur la partie gestion des périphériques, Microsoft est en train de renverser la tendance avec l’Enterprise Mobility Suite. De nombreux efforts ont été mis en place pour rattraper le gap et proposer une solution complète et consistante à travers toutes les plateformes.

Me concernant, l’année 2015 est marquée par un renouvellement comme MVP Enterprise Mobility pour la 6^ème année.

En 2016, nous allons continuer de fournir toujours plus de connaissances en libre accès via cette plateforme. Je tiens d’ailleurs à remercier Christophe BOUCETTA, Christophe TROESSAERT, Florent APPOINTAIRE, Vincent BIRET, Olivier DA SILVA, Yannick PLAVONIL, et Sylver SCHORGEN pour leur participation à cette plateforme. Pour rappel, nous ne touchons aucune rémunération (publicités, partenaires, etc…) pour le travail fourni afin de garder une indépendance impartiale. Nous accueillons bien entendu toute personne qui souhaiterait participer à l’aventure tout en respectant les valeurs que nous mettons en avant. Plus d’informations : Ici

Je me permets de vous faire passer mes meilleurs vœux pour cette année 2016. Je vous souhaite beaucoup de réussite personnelle et professionnelle.

Personnellement, je vous réserve quelques surprises pour 2016.

Stay Tuned !

Microsoft a publié un correctif pour System Center 2012 Configuration Manager SP2/R2 SP1. Les clients ne peuvent télécharger du contenu depuis un Cloud Distribution Point si le point de distribution local a la fonctionnalité BranchCache activée. Les erreurs suivantes sont affichées dans le fichier ContentTransferManager.log

CTM job {job_guid} successfully processed download completion.
Failed to decrypt C:\Windows\ccmcache\{package_filename}

Plus d’informations et obtenir le correctif sur la KB3120338 - FIX: Content can’t be downloaded from Cloud-Based Distribution Points System Center 2012 Configuration Manager Service Pack 2 when BranchCache is enabled

Microsoft vient de publier une mise à jour (2.7.133) de Mouse and Keyboard Center pour Windows 10. Anciennement IntelliPoint IntelliType Pro, cet outil permet de personnaliser la façon dont vous travaillez avec votre PC et vos périphériques Clavier et Souris Microsoft.

Télécharger Mouse and Keyboard Center 2.7 (formerly IntelliPoint IntelliType Pro)

Ce problème survient lorsque vous essayez d’installer le client System Center 2012 Configuration Manager ou plus. Dans ce cas de figure, vous recevez l’erreur suivante dans CCMSetup.log :

Error: CcmSetup failed with error code 0x80070643

MSI: Internal Error 2908. {C6660293-02D9-4DF8-9088-6BB194EC1A67}

MSI: Action 13:07:38: InstallFiles. Copying new files

MSI: An error occurred during the installation of assembly 'Microsoft.ConfigurationManager.AssetProvider.dll,Version="5.0.0.0",Culture="neutral",PublicKeyToken="31bf3856ad364e35"'. Please refer to Help and Support for more information.

MSI: Action 13:07:39: Rollback. Rolling back action:

File C:\Windows\ccmsetup\{181D79D7-1115-4D96-8E9B-5833DF92FBB4}\client.msi installation failed. Error text: ExitCode: 1603
Action: InstallFiles.
ErrorMessages:
Internal Error 2908. {C6660293-02D9-4DF8-9088-6BB194EC1A67}
An error occurred during the installation of assembly 'Microsoft.ConfigurationManager.AssetProvider.dll,Version="5.0.0.0",Culture="neutral",PublicKeyToken="31bf3856ad364e35"'. Please refer to Help and Support for more information.

Pour résoudre le problème, vous devez :

• Désinstaller le .NET Framework
• Redémarrer
• Installer le .NET Framework
• Installer le client SCCM 2012

Vous pouvez aussi tenter une réparation du .NET Framework en lieu et place de la désinstallation/réinstallation.

Stanislas Quastana (MSFT) a publié une série de vidéos pour présenter Hyper-V Replica de Windows Server 2012 R2. Il propose différents modules sur cette fonctionnalité :

• Module 1 – Introduction à la notion de plan de reprise d’activité (PRA)
• Module 2 – Introduction à Hyper-V Replica
• Module 3 – Configuration d’Hyper-V Replica
• Module 4 – Bascule et test de PRA
• Module 5 – Réplication et synchronisation
• Module 6 – Architecture interne
• Module 7 – Dimensionnement et bonnes pratiques
• Module 8 – Synthèse

Pour voir les vidéos et obtenir plus d’informations : https://blogs.technet.microsoft.com/stanislas/2015/12/10/plan-de-reprise-dactivite-avec-hyper-v-replica/

Microsoft a publié une mise à jour de son document regroupant les événements d’audit de sécurité pour Windows. Ceci vous permet facilement de créer des sondes de supervision pour détecter des comportements anormaux. La liste a notamment été mise à jour avec les derniers ajouts de Windows 10.

Télécharger Windows security audit events

Depuis le Cumulative Update 1 de System Center 2012 Configuration Manager SP2 ou R2 SP1, il est possible d’installer un Cumulative Update en utilisant la fonctionnalité Automatic Client Update. L’Automatic Client Upgrade a été créée afin de faciliter le déploiement mise à jour sur les clients ConfigMgr.

A partir du Cumulative Update 1, vous retrouvez l’écran suivant :

En cochant la case Automatically Apply, l’installeur met à jour les sources du client pour le package utilisé par la fonctionnalité Automatic Client Update. Ceci a pour effet de mettre à jour les sources utilisée pour le Client Push.

Cet écran n’est disponible que si vous avez activer la fonctionnalité Automatic Client Update. Du coup si vous souhaitez quand même mettre à jour les sources pour le Client Push, vous devez suivre la procédure suivante :

1. Aller dans Administration – Site Configuration – Site – Hierarchy Settings. Activer la fonctionnalité Automatic Client Update avec un délai très long (31 Jours)

   

2. Appliquer le Cumulative Update en sélectionnant Automatically Apply sur l’écran ci-dessus.
3. Désactiver la fonctionnalité Automatic Client Update

Dans ce cas, vous pourrez observer que le dossier ClientUpdate a été créé/mis à jour avec à l’intérieur le fichier MSI correspondant au Cumulative Update.

Microsoft vient de mettre à jour son outil Just Enough Administration (JEA) pour Windows Management Framework 5.0. Le principe est simple : donner uniquement les droits nécessaires à l’administration aux utilisateurs concernés. Cette fonctionnalité vient avec PowerShell 5.0. Cette version n’utilise plus des toolkits mais les role capabilities et session configurations construit au-dessus de PowerShell. Cette version ne peut être utilisée qu’avec les versions récentes de JEA :

• Windows Server 2016 TP4
• Windows Server 2012 ou 2012 R2 avec WMF 5.0 RTM

Plus d’informations sur JEA : http://blogs.technet.com/b/privatecloud/archive/2015/12/20/introducing-the-updated-jea-helper-tool.aspx

Télécharger JEA Toolkit Helper 2.0

Stanislas Quastana (MSFT) a publié il y a quelques temps une série d’articles sur les conteneurs et Docker. Ces articles donnent les principes et les grands concepts :

• Débuter avec les conteneurs Linux, Windows, Docker, Azure–partie 1–Introduction
• Débuter avec les conteneurs Linux, Windows, Docker, Azure – partie 2 – Introduction à Docker
• Débuter avec les conteneurs Linux, Windows, Docker, Azure – partie 3 – Déployer Docker dans Azure

Microsoft IT a publié un livre blanc sur le déploiement de Windows 10 en interne via le scénario de mise à jour (Upgrade). L’entreprise a déployé Windows 10 sur plus de 96000 utilisateurs éparpillés dans le monde dans les différents sites Microsoft ou à distance. Cette opération s’est étalée sur 9 semaines !! Microsoft IT a donc utilisé le scénario de mise à niveau pour ne pas impacter la productivité et remettre le poste de travail en l’état après la mise à jour. L’entreprise a notamment utilisée ses technologies comme System Center 2012 R2 Configuration Manager SP1 en mettant à disposition la mise à jour via le Software Center. Pour les utilisateurs distants (environ 10000), Microsoft a mis en cache la mise à jour pour améliorer le taux de réussite.

L’étude de cas montre la méthodologie, les bonnes pratiques, les leçons apprises et les bénéfices.

Lire Deploying Windows 10 at Microsoft as an in-place upgrade

Il est parfois d’obtenir la liste complète des applications pouvant se voir déployer des stratégies de gestion applicative (MAM) avec Microsoft Intune et/ou System Center Configuration Manager. Je vous propose de maintenir ce billet avec la liste des dernières applications :

Mis à jour le 13-12-15

*Support du multi-identité

Certaines applications partenaires sont aussi proposées :

Microsoft a publié un article dans la base de connaissances pour spécifier les exclusions antivirales pour System Center Virtual Machine Manager et les différents hôtes virtuels pouvant être gérés. On retrouve notamment :

• Les processus Hyper-V suivants : vmms.exe, vmwp.exe
• Tous les fichiers VHD, VHDX, AVHD, AVHDX, VSV, et ISO stockés dans la librairie SCVMM et les partages de librairie
• Tous les fichiers VHD, VHDX, AVHD, AVHDX, VSV, et ISO stockés sur les hôtes et clusters Hyper-V. On peut les retrouver dans les emplacements suivants :
  • C:\ProgramData\Microsoft\Windows\Hyper-V
  • C:\Users\Public\Documents\Hyper-V\Virtual Hard Disks
  • C:\ProgramData\Microsoft\Windows\Hyper-V\Snapshots
  • C:\ClusterStorage
  • Tous les repertoires personnalisés contenant des disques VHD
  • Les répertoires de réplication de données personnalisés lors de l’utilisation d’Hyper-V Replica ou de machines virtuelles protégées avec Azure Site Recovery.

Plus d’informations sur la KB3119208 - Recommended antivirus exclusions for System Center Virtual Machine Manager and managed hosts

L’équipe Exchange vient de publier le 18ème Rollup (KB3078672) pour Exchange Server 2007 SP3 (version 08.03.0445.000). Cette mise à jour résout le problème suivant : KB 3106421 Very long URLs in an email message don't open in OWA in Internet Explorer

Télécharger Update Rollup 18 for Exchange Server 2007 Service Pack 3 (KB3078672)

L’équipe Exchange vient de publier le 12ème Rollup (KB3096066) pour Exchange Server 2010 SP3 (version 14.03.0279.002). Voici la liste des corrections contenues dans ce package :

• KB 3048372 Exchange Calendar items are shifted incorrectly when some Windows DST updates are applied
• KB 3096125 CryptographicException error when Edge Transport service crashes in an Exchange Server 2010 environment
• KB 3097219 Organizer's name isn't displayed in the subject of the recurring meeting requests in Exchange Server 2010
• KB 3106421 Very long URLs in an email message don't open in OWA in Internet Explorer
• KB 3115809 Mailboxes can be accessed when the DefaultNetworkCredentials option is selected when you use Exchange Web Services Managed API to connect to Exchange Server

Télécharger Update Rollup 12 For Exchange 2010 SP3 (KB3096066)