L’équipe Microsoft Intune a publié une présentation Sway représentant l’actualité Microsoft Intune en 2016. On retrouve les grands enjeux, les stratégies, les publications mois par mois, les grandes fonctionnalités. Bref, cette présentation est un bon résumé de la rapidité d’évolution du service sur les derniers mois.

https://sway.com/C28XZnaiWRRA0UjW

Microsoft vient de mettre à disposition la Technical Preview 1701 (5.0.8482.1000) de System Center Configuration Manager. ConfigMgr a subi une refonte de sa structure pour permettre des mises à jour aisées de la même façon que l’on peut le voir avec Windows 10. Si vous souhaitez installer cette Technical Preview, vous devez installer la Technical Preview 5 (équivalent de la TP1603) puis utiliser la fonctionnalité Updates and Servicing (nom de code Easy Setup).

System Center Configuration Manager TP 1701 comprend les nouveautés suivantes :

• Amélioration des groupes de limites (Boundary Groups) pour permettre d’ajouter les Software Update Points au principe d’association afin de gérer le basculement automatique en fonction d’un temps donné comme c’est déjà le cas avec les points de distribution.
• Un outil de nettoyage de la librairie de contenu permet de supprimer le contenu orphelin qui n’est plus associé à aucun package ou application.
• Support de la fonctionnalité Express Installation Files de WSUS pour les correctifs cumulatifs Windows 10.  Cette fonctionnalité requiert le correctif cumulatif de Janvier pour Windows 10 1607 afin de mettre à jour l’agent Windows Update.
• Il est maintenant possible d’héberger des packages de mises à jour logicielles sur les Cloud Distribution Points. Cet ajout permet de couvrir le scénario de déploiement de mises à jour tierces (via SCUP).
• Amélioration du connecteur OMS pour la prise ne charge de Microsoft Azure Government.
• Les données d’inventaire permettent d’inventorier si le périphérique fonctionne en mode UEFI.
• Il est maintenant possible de configurer les Management Points pour valider l’état de santé des clients Windows 10 qui utilisent le service Device Health Attestation. Les Management Points font ainsi l’intermédiaire et ne demandent pas aux clients de dialoguer avec le service Cloud.
• Déplacement du nœud Updates and Servicing à la racine de la partie Administration.
• Les versions d’iOS et Android ne sont plus sélectionnable lors de la création de stratégies et de profils. Il reste tout de même possible d’éditer les versions via les propriétés.
• En outre des améliorations au déploiement de système d’exploitation ont été fait :
  • Support de plus d’applications (jusqu’à 99 contre 9 auparavant) par la tâche Install Application
  • L’ajout d’applications à la tâche Install Application permet la multi sélection.
  • Capacité de définir une date de démarrage et d’expiration d’un média autonome
  • Support de contenu additionnel dans le média autonome
  • Configuration d’un timeout sur la tâche Auto Apply Driver
  • L’identifiant du package est affiché dans la tâche.
  • L’ADK Windows 10 est maintenant traqué par numéro de version
  • Le chemin des sources des images de démarrage par défaut ne peut plus être changé.

Plus d’informations sur : https://docs.microsoft.com/en-us/sccm/core/get-started/capabilities-in-technical-preview-1701

Avec Windows 10 1607 (Anniversary Update), Microsoft a intégré une fonctionnalité appelée AutoVPN. Cette dernière permet une connexion aisée aux ressources de l’entreprise.

AutoVPN nécessite les prérequis suivants :

• Windows 10 1607
• Un périphérique géré par Microsoft Intune ou joint au domaine.
• Vous êtes connecté en utilisant votre compte email d’entreprise ou Windows Hello.

L’authentification d’AutoVPN demande une méthode d’authentification apportée soit par Windows Hello ou une authentification à facteurs multiples.

Lire le Showcase : Using AutoVPN to connect remotely

Le monde de la gestion des périphériques est en pleines turbulences ! Que ce soit les fournisseurs de gestion de périphériques mobiles ou les acteurs traditionnels, on retrouve différentes actions de consolidation en cours. La dernière en date est le rapprochement de LANDESK et Heat Software pour former une entité appelée Ivanti.

Pour rappel, LANDESK possède Shavlik, AppSense et Wavelink

Microsoft a publié le premier Cumulative Update pour SQL Server 2016 SP1. Ce Cumulative Update comprend plusieurs correctifs.

Plus d’informations sur : http://support.microsoft.com/kb/3208177

Télécharger Microsoft® SQL Server® 2016 SP1 Latest Cumulative Update

Microsoft vient de publier un correctif critique pour la déduplication de données dans Windows Server 2016. Cette mise à jour corrige des problèmes de corruption qui peuvent survenir pour des fichiers qui font plus de 2,2 TB.

Microsoft précise que supporte officiellement uniquement des fichiers qui font jusqu’à 1 TB. La raison vient du faire que les performances ne sont pas au niveau des attentes de Microsoft pour des fichiers plus gros et que des charges de travail avec beaucoup d’écriture peuvent atteindre les limites de fragmentation.

Plus d’informations sur : https://blogs.technet.microsoft.com/filecab/2017/01/30/windows-server-2016-data-deduplication-users-please-install-kb3216755/

Télécharger la KB3216755

L'équipe Exchange vient de mettre à jour l'outil Exchange Server Role Requirements Calculator dans sa version 8.4. Cet outil est composé de feuilles Excel permettant d'entrer des données relatives à votre architecture. Cette nouvelle version corrige les bugs avec la fonctionnalité de calcul automatique DAG. En outre, elle apporte le support de ReplayLagMaxDelay et s’assure que la valeur SafetyNetThreshold est configurée à une valeur égale ou supérieure à la somme de ReplayLagTime+ReplayLagMaxDelay.

Le calculateur vous donnera les prérequis de :

• Rôles
• LUN
• Design du stockage
• Input
• Backup
• Log Replication

Plus d’informations sur : https://blogs.technet.microsoft.com/exchange/2017/01/05/released-exchange-server-role-requirements-calculator-8-4/

Télécharger Exchange Server Role Requirements Calculator

Microsoft a publié deux articles visant à introduire la gestion des machines virtuelles dans Microsoft Azure via Azure Resource Manager (ARM). Ces deux articles vous permettront de comprendre :

• Les machines virtuelles
• Les opérations (Ajout de disques, etc.)
• La capture d’une machine
• Le clonage de machine virtuelle

Lire :

• Azure Virtual Machine Internals – Part 1
• Azure Virtual Machine Internals – Part 2

Microsoft Edge commence à être utilisé dans le monde de l’entreprise. Il existe de nombreuses astuces autour de ce navigateur afin d’obtenir des informations concises.

En tapant about:compat dans la barre de navigation, vous obtenez la liste des sites exécutés en mode de compatibilité ou définis via le mode entreprise :

En tapant about:flags dans la barre de navigation, vous obtenez la liste des paramètres de développeurs, et des fonctionnalités expérimentales :

Microsoft vient d’annoncer le support de la solution Surface Enterprise Management Mode (SEEM) par System Center Configuration Manager. Cette solution permet le contrôle et la gestion des paramétrages UEFI pour les Surface Pro 4 et Surface Book.

Le principe est de :

1. Déployer Microsoft Surface UEFI Manager
2. Modifier les scripts SEMM Configuration Manager pour configurer les périphériques.
3. Déployer les scripts

Lire la documentation : Use System Center Configuration Manager to manage devices with SEMM

Télécharger Microsoft Surface UEFI Configurator and Microsoft Surface UEFI Manager

Source : https://blogs.technet.microsoft.com/surface/2017/01/16/introducing-surface-enterprise-management-mode-and-system-center-configuration-manager-support-for-semm/

Microsoft a publié l’agent SIEM (0.87.20) pour permettre l’intégration des activités et alertes provenant du service Cloud App Security dans votre SIEM. Ceci vous permettra de corréler des événements entre les éléments On-Premises et Cloud. Pour rappel, cette solution est issue du rachat d’Adallom et permet de donner de la visibilité, du contrôle et de la sécurité sur les applications Cloud. Vous pouvez obtenir des informations sur l’activité des utilisateurs, détecter des comportements anormaux, identifier les comptes compromis, etc.

L’agent s’exécute sur un serveur afin de récupérer les alertes et activités. La machine qui exécute l'agent doit avoir Java 8.

Télécharger Microsoft Cloud App Security SIEM Agent

Vous souhaitez suivre les évolutions des applications Office proposées sur iPhone ou iPad ? Microsoft vient d’ouvrir le programme Office Insider pour ces périphériques.

Il suffit pour cela de s’inscrire via l’URL suivante : Office Insider for iPhone and iPad

Peter van der Woude (MVP Enterprise Mobility) a publié un outil permettant de gérer les périphériques mobiles à distance avec System Center Configuration Manager. Développé en PowerShell, il permet de partir d’un utilisateur pour récupérer la liste des périphériques mobiles associés et réaliser différentes actions :

• Effacement complet
• Effacement sélectif
• Demande de synchronisation
• Verrouillage à distance
• Réinitialisation du mot de passe
• Etc

Il n’est plus nécessaire de se connecter ou de déléguer l’accès à la console d’administration.

Plus d’informations sur : https://www.petervanderwoude.nl/post/updated-tool-remote-mobile-device-manager/

Télécharger Remote Mobile Device Manager

Microsoft a publié un livre blanc sur la protection des machines en mode Workgroup ou dans des domaines sans relation d’approbation avec System Center Data Protection Manager (DPM). La méthode décrite permet d’utiliser des certificats pour authentifier ces machines. Ce mode de fonctionnement ne supporte uniquement les charges suivantes :

• SQL Server
• Serveur de fichiers
• Hyper-V

Toutes les autres sources de données ne sont pas supportées : Exchange, Client, SharePoint, System State, etc.

Lire le livre blanc

Un de mes clients utilise la gestion de conformité de System Center Configuration Manager pour valider ses serveurs, il voulait pouvoir valider la conformité du serveur vis-à-vis des mises à jour de sécurité déployées. Cette fonctionnalité est disponible nativement mais elle nécessite l’ajout individuellement des mises à jour que vous souhaitez valider. Autant vous dire que cela prend du temps d’ajouter chaque mois les mises à jour à la baseline.

J’ai donc travaillé sur un script permettant de faire le travail côté client. Il liste tous les groupes de mises à jour logicielles déployés et regarde la conformité des mises à jour de sécurité vis-à-vis de ces derniers.

Si le client est à jour, il renvoie True sinon il renvoie les mises à jour manquantes qui peuvent ainsi être consultées dans le rapport local.

Note : Le script se base sur des fonctions créées par Stephane Van Gulick (MVP PowerShell).

Télécharger MissingUpdates.ps1

Il existe différents moyens d’enregistrer les périphériques à l’annuaire Azure Active Directory. L’enregistrement sert à différents éléments comme par exemple pour permettre le Single Sign On.

On retrouve les états suivants :

• Domain Join++ correspond à un état hybride qui s’adresse uniquement aux périphériques Windows. Ces derniers sont alors joints à l’annuaire Active Directory de l’entreprise (On-Premises) mais une GPO vient compléter cet enregistrement pour qu’il ait aussi lieu dans Azure Active Directory. Pour cela, la GPO suivante doit être configurée : Computer Configuration/Policies/Administrative Templates/Windows Components/Device Registration/ Register domain joined computers as devices
• Azure AD join cible uniquement les ordinateurs Windows 10. Dans ce mode de fonctionnement, l’ordinateur est joint à Azure Active Directory et la relation de confiance est alors établie avec Azure Active Directory. Il est possible pour l’administrateur de réécrire le périphérique dans l’annuaire On-Premises (Device WriteBack) via Azure AD Connect. Ceci permet d’assurer le Single Sign-On lorsque le périphérique doit accéder à des ressources internes.
• Workplace Join s’adresse à tout type de périphérique (Windows 10, iOS, Android, etc.). Le périphérique n’est alors pas joint à Azure Active Directory ou Active Directory. L’utilisateur se connecte dessus en utilisant un compte local et l’enregistrement a lieu via le portail d’entreprise (iOS et Android) ou via la fonction Enroll only in device management (Settings -> Accounts -> Access work or school).

Il existe différents moyens de vérifier comment un périphérique est enregistré.

PowerShell

Directement sur le périphérique Windows, vous pouvez utiliser dsregcmd.exe /status :

Via la cmdlet PowerShell du module Azure Active Directory et la commande Get-MsolDevice. Vous pouvez spécifier le paramètre -All pour obtenir tous les périphériques enregistrés.

Vous pouvez aussi cibler un périphérique donner via Get-MsolDevice -Name <NOM DU PERIPHERIQUE>

Portail Azure

Vous pouvez avoir une vision rapide de l’état d’un périphérique via le portail Azure. Il vous faudra par contre connaître l’utilisateur associé. Naviguez dans l’espace Azure Active Directory puis Users and groups. Sélectionnez l’utilisateur en question. Cliquez sur Devices pour afficher les périphériques associés et voir la relation de confiance établie (Domain Joined, AzureAd, Workplace).

L’équipe SCVMM a publié un billet sur son blog afin de détailler comment dépanner les erreurs ‘Unsupported Cluster Configuration’ pour System Center 2012 R2 Virtual Machine Manager (SCVMM). Ces erreurs surviennent dans la console SCVMM pour des machines virtuelles hébergées sur un cluster Hyper-V.

Lire le billet : Troubleshooting ‘Unsupported Cluster Configuration’ errors in Virtual Machine Manager 2012 R2

Microsoft a publié un article dans la documentation sur les recommandations en matière de puce TPM pour Windows. La puce TPM est utilisée par bon nombre de fonctionnalités : UEFI, BitLocker, Microsoft PassPort, Windows Hello, etc. Microsoft recommande activement l’utilisation de la norme TPM 2.0 car cette dernière apporte une standardisation stricte, le support d’autres algorithme que SHA1 et RSA. La norme 2.0 offre par exemple une expérience consistante puisque c’est bel et bien Windows qui configure les stratégies de verrouillage afin d’assurer une protection contre certaines attaques.

Depuis le 28 Juillet 2016, tous les nouveaux modèles doivent implémenter des puces TPM 2.0.

L’article détaille aussi les fonctionnalités Windows et les normes nécessaires :

Plus d’informations sur : https://technet.microsoft.com/en-us/itpro/windows/keep-secure/tpm-recommendations

Microsoft a publié une nouvelle version du média d’installation de System Center Configuration Manager 1606.

Ancienne version publiée avant le 15 décembre :
mu_system_center_configuration_manager_endpoint_protection_version_1606_x86_x64_dvd_9384954.iso

Version publiée après le 15 décembre : mu_system_center_configuration_manager_endpoint_protection_version_1606_x86_x64_dvd_9678361.iso

La nouvelle version corrige certaines routines dans l’interface de l’installeur pour notamment permettre la mise à niveau à partir de System Center 2012 Configuration Manager SP1 et R2 RTM.

C’est une erreur qui est devenue assez commune avec les clients Windows 7 équipés d’une version récente de l’agent Windows Update. Lorsqu’une évaluation des mises à jour est initiée par System Center Configuration Manager, cette dernière échoue avec l’erreur suivante dans windowsupdate.log :

WARNING: SendRequest failed with hr = 80072ee2. Proxy List used: <(null)> Bypass List used : <(null)> Auth Schemes used : <>

WARNING: Send failed with hr = 80072ee2.

Sur le serveur Software Update Point, vous observez des événements comme suit :

Log Name: Application

Source: ASP.NET 2.0.50727.0

Event ID: 1309

Task Category: Web Event

Event code: 3001

Event message: The request has been aborted.

Exception type: HttpException

Exception message: Request timed out.

Si vous observez des événements 1309 et 5117 dans le journal système, cela signifie qu’il y a un problème d’allocation mémoire pour le pool d’application WSUS dans IIS. Vous devez donc augmenter ce dernier : https://blogs.technet.microsoft.com/configurationmgr/2015/03/23/configmgr-2012-support-tip-wsus-sync-fails-with-http-503-errors/

Source : https://blogs.technet.microsoft.com/configmgrdogs/2016/11/02/windows-update-error-80072ee2-wsus

Michael Niehaus (MSFT) a publié une vidéo explicative du modèle Windows-as-a-Service proposé avec Windows 10. Cette vidéo explique la cadence de mise à niveau, les problèmes que cela résoud, etc.

On parle souvent de la fin du support des produits mais l’interconnexion que ces produits peuvent avoir avec des services Cloud peut avoir un support différent. C’est le cas pour System Center Configuration Manager 2012 SP1 et R2 avec l’interconnexion avec Microsoft Intune. Le support de ces deux produits a été arrêté en Juillet 2016. Néanmoins le connecteur Intune qui permet la gestion hybride arrive en fin de support à partir du 10 Avril 2017.

Après cette date, le connecteur ne pourra plus se connecter.

Dans ce cas, vous devez considérer la migration vers :

• System Center 2012 Configuration Manager SP2
• System Center 2012 R2 Configuration Manager SP1
• System Center Configuration Manager Current Branch

Je suis tombé sur une info intéressante publiée par Matt Shadbolt (Senior PM - Enterprise Client and Mobility – Intune) concernant Windows 10 1607 et plus. L’opération d’enregistrement d’un périphérique dans une solution d’administration peut être compliquée lorsqu’elle est réalisée par une utilisateur. En prenant Windows 10, l’utilisateur doit aller dans Settings > Accounts > Access Work or School > Enroll only in device management.

Matt nous donne une astuce visant à créer un lien hypertexte (envoyé par email) afin de rediriger automatiquement l’utilisateur vers cet espace. Il suffit pour cela d’utiliser le lien : ms-device-enrollment:?mode=mdm

Source : https://blogs.technet.microsoft.com/configmgrdogs/2016/10/07/email-an-mdm-enrollment-link-for-windows-10-users/

Microsoft a introduit en octobre dernier son nouveau modèle de mise à jour des anciens systèmes (Windows 7, Windows 8, Windows Server 2008 R2, Windows Server 2012, et Windows Server 2012 R2). Après une première adaptation liée au comportement de remplacement des mises à jour et des règles d’application des mises à jour cumulatives et de sécurité uniquement, Microsoft introduit un nouveau changement.

A partir de février 2017, les mises à jour de sécurité uniquement ne comprendront plus les correctifs de sécurité relatifs à Internet Explorer. Le but est de réduire la taille de ces packages. Les packages de correctifs cumulatifs ne changent pas et intègrent toujours les mises à jour d’Internet Explorer.

https://blogs.technet.microsoft.com/windowsitpro/2017/01/13/simplified-servicing-for-windows-7-and-windows-8-1-the-latest-improvements/

L’équipe VMM a publié un billet sur comment restaurer une Gateway Hyper-V Network Virtualization (HNV) qui a été déployée par System Center Virtual Machine Manager 2016 (VMM 2016). Il revient sur deux méthodes :

• Comment restaurer une gateway après un crash des deux machines virtuelles qui supporte la gateway
• Comment restaurer une gateway après un crash d’une des machines virtuelles qui supporte la gateway.

Lire (en anglais) How to recover an HNV Gateway that was deployed through Microsoft VMM 2016