Microsoft vient d’annoncer le support de nouveaux paramétrages par Microsoft Intune dès la mise à disposition d’iOS 13 et macOS 10.15 en septembre.

Pour résumer, voici les changements :

Apple a passé certains paramétrages existants de restriction de périphérique uniquement pour les périphériques supervisés. Ceci inclus :

• App Store, Doc Viewing, Gaming
  • App store (supervised only)
  • Explicit iTunes, music, podcast, or news content (supervised only)
  • Adding Game Center friends (supervised only)
  • Multiplayer gaming (supervised only)
• Built-in Apps
  • Camera (supervised only)
  • FaceTime (supervised only)
  • Safari (supervised only)
  • Autofill (supervised only)
• Cloud and Storage
  • Backup to iCloud (supervised only)
  • Block iCloud Document sync (supervised only)
  • Block iCloud Keychain sync (supervised only)

Si ces paramètres ont été configurés et assignés à des périphériques non supervisés avant la sortie de iOS 13.0, les restrictions s'appliqueront toujours aux périphériques non supervisés, même après leur mise à niveau vers iOS 13.0. Toutefois, ces restrictions seront supprimées pour les périphériques non supervisés qui sont sauvegardés et restaurés.

Les nouveaux paramétrages suivants seront disponibles :

iOS (uniquement pour des périphériques supervisés)

• Keyboard and Dictionary
  • Quickpath (supervised only)
• Built-in Apps
  • Find my iPhone (supervised only)
  • Find My Friends (supervised only)
• Wireless
  • Modification of Wi-Fi state (supervised only)

macOS

• Cloud and Storage
  • Handoff

On retrouve aussi les changements suivants :

• Pour les périphériques exécutant macOS 10.15 ou une version ultérieure, les règles de chiffrement FileVault seront uniquement ciblées sur les périphériques qui sont enregistrés avec l'approbation de l'utilisateur.
• Les appareils dont la stratégie de mots de passe comporte plus de 6 chiffres et qui sont enregistrés dans ce nouveau mode recevront une exigence de 6 chiffres, si auparavant le mot de passe était réglé à plus de 6. Les périphériques dont le code d'accès est complexe et qui sont enregistrés dans ce nouveau mode recevront également un code à 6 chiffres s'ils ont déjà été réglés à plus de 6. Toutes les autres exigences en matière de stratégie sur les codes d'accès ne seront pas appliquées sur les périphériques User Enrollment.

Outre ces éléments, Apple a annoncé un nouveau mode d’enregistrement utilisateur (User Enrollment) pour iOS 13, iPadOS, et macOS 10.15, qui s’apparente à du BYOD. Microsoft est en train de s’assurer que les stratégies actuelles s'appliquent de manière prévisible aux périphériques inscrits dans ce mode. 

• Ces réglages sont également disponibles pour les périphériques enregistrés par l'intermédiaire de Device Enrollment et Automated Device Enrollment (anciennement DEP).
• Tous les paramètres pris en charge par Intune qu'Apple autorise sur les périphériques enregistrés en mode User Enrollment continueront de fonctionner sur ces périphériques en utilisant les stratégies actuelles.
• Les paramètres disponibles pour les périphériques enregistrés via ce mode s'appliquent à tous les périphériques enregistrés.
• Les paramètres qui ne sont pas marqués comme disponibles pour ce mode ne seront pas appliqués à ces périphériques enregistrés dans ce mode. Par exemple, si vous bloquez AirPrint sur un périphérique iOS qui a été enregistré via le mode User Enrollment, AirPrint ne sera pas bloqué car cette restriction de périphérique nécessite un périphérique iOS supervisé exécutant iOS 11.0+.

Les types de profils suivants s’appliqueront à tous les modes :

• Wi-Fi, Certificats (SCEP) : iOS et macOS
• VPN : macOS uniquement
• Email, Certificats (PKCS) : iOS Uniquement

Microsoft va travailler à la refonte des catégories de stratégies en fonction des types d’enregistrement pour que l’interface soit la plus clair possible. On retrouvera donc les catégories suivantes :

• macOS
  • All enrollment types
  • Device enrollment
  • User approved and automated device enrollement
  • Automated Enrollment
• iOS
  • All enrollment types
  • Device approved and automated device enrollement
  • Automated Enrollment

Etant donné les préparations qui ont lieu, il ne fait aucun doute que Microsoft travaille sur l’intégration de ce mode d’enregistrement.

Plus d'informations sur : https://techcommunity.microsoft.com/t5/Intune-Customer-Success/Intune-support-for-new-settings-and-updates-in-iOS-13-and-macOS/ba-p/809055

Alors certains diront que c’est une nième tentative de la part de Microsoft pour reprendre des parts de marché sur les navigateurs web. Il n’empêche que Microsoft Edge avec le moteur Chromium (comprendre le moteur de rendu graphique développé pour Chrome), a toutes les cartes en main pour conquérir le marché. Je ne m’attarderais pas sur les fonctionnalités standards, basiques et utilisateurs finaux mais voici un aperçu :

• Un moteur graphique qui a fait ses preuves et reconnu des utilisateurs pour sa rapidité et sa sécurité
• La capacité d’utiliser des extensions déjà disponibles sur Chrome
• Des fonctionnalités intéressantes déjà proposées dans l’ancienne version d’Edge
• Une intégration étroite et puissante avec Windows 10
• Un navigateur cross-plateforme : macOS, Android et iOS

L’objet de ce billet est plutôt de parler des fonctionnalités annoncées pour les entreprises. On retrouve notamment :

• Microsoft va offrir le mode Internet Explorer (déjà connu de Microsoft Edge ancienne génération). La différence est qu’il sera complétement intégré à Microsoft Edge (Chromium). Contrairement à son prédécesseur, il ne nécessitera plus d’IE 11 et l’expérience utilisateur sera totalement intégrée. La page devant s’exécuté en mode IE, s’ouvrir dans Microsoft Edge comme un onglet classique. L’entreprise définira la liste des sites d’entreprise comme auparavant.
• Microsoft Edge va offrir des capacités de configuration uniques avec bien entendu les modèles d’administration (ADMX) pour configurer le navigateur par stratégies de groupe (GPO) mais aussi une intégration avec les outils de MDM tels que Microsoft Intune pour configurer l’ensemble des paramétrages avec ces derniers.
• Outre ces capacités de configuration, Microsoft va aussi intégrer les capacités de déploiement et de gestion à Microsoft Intune et System Center Configuration Manager pour contrôler le déploiement et les mises à jour. Ceci inclut la capacité de définir des rings, de mettre en pause les déploiements etc.
• C’est sur la sécurité où Microsoft va le plus miser avec :
  • La capacité d’exécuter Microsoft Edge (Chromium) dans un conteneur avec Windows Defender Application Guard pour protéger le système des menaces extérieurs (fichiers, code malveillant, etc.)
  • Intégrer Microsoft Defender SmartScreen pour la validation des sites (phishing, etc.) et des fichiers téléchargés vis-à-vis du Cloud et de chambres de détonation.
  • Intégrer l’accès conditionnel d’Azure Active Directory
  • Intégrer le Framework Microsoft Information Protection pour protéger les données d’entreprise avec Windows Information Protection et Azure Information Protection.
• L’utilisateur va pouvoir se connecter avec son compte Azure Active Directory pour synchroniser ses paramétrages, ses favoris et toutes les personnalisations à travers tous les périphériques (Windows ou macOS, etc.). Cette fonctionnalité apportera aussi le Single Sign-On pour les sites d’entreprise.
• L’entreprise va pouvoir gérer la protection de la vie privée de l’utilisateur avec la fonction tracking prevention.
• Microsoft va intégrer sur un onglet d’une nouvelle page, les informations importantes et le contenu recommandé de l’entreprise (Office 365, etc.) pour permettre de mettre en avant un document ou une collaboration. Ceci est similaire à la page actuelle qui propose des news et des sites mais focalisée sur du contenu personnel.
• Enfin, Microsoft va proposer un support natif de l’intégration de Microsoft Search avec Bing pour permettre de proposer du contenu d’entreprise dans la recherche effectuée par l’utilisateur dans son navigateur.

Plus d’informations sur : The next version of Microsoft Edge: Enterprise evaluation and roadmap

Microsoft vient de publier la Release Candidate de SQL Server 2019. Cette version s’intègre à Apache Spark et HDFS dans une plateforme unifiée.

SQL Server 2019 apporte les éléments suivants :

• SQL Server 2019 Big Data Clusters permettant de faire de l'analyse et de l'intelligence artificielle sur n'importe quel type de données, structurées ou non, avec la puissance de SQL et Apache Spark. Vous pouvez améliorer vos données structurées en les combinant avec des données volumineuses et la capacité d'extrapoler dynamiquement le calcul pour prendre en charge les analyses sur Hadoop Distributed File System (HDFS). Ceci inclut :
  • Déployer des clusters évolutifs de conteneurs SQL Server, Spark et HDFS fonctionnant sur Kubernetes
  • Lire, écrire et traiter des données volumineuses à partir de Transact-SQL ou Spark
  • Combiner et analyser facilement des données relationnelles avec de gros volumes de données.
  • Interroger des sources de données externes
  • Stocker les données volumineuses dans un HDFS géré par SQL Server
  • Interroger des données provenant de multiples sources de données externes par l'intermédiaire du cluster
  • Utiliser les données pour l'IA, le machine learning et d'autres tâches d'analyse.
  • Déployer et exécuter des applications dans de grands clusters de données
• Virtualisation de données avec PolyBasevous permet d'avoir un seul point d'interrogation où vous exécutez le code T SQL ou connectez vos outils BI, pour joindre vos données disparates et récupérer les résultats. Plus de mouvement de données, juste une couche sémantique pour abstraire la complexité de votre patrimoine sous-jacent. Vous pouvez interroger les données stockées dans Oracle, Teradata, HDFS ou toute autre source de données sans déplacer ou répliquer les données et vous pouvez le faire d'une manière performante en mettant en cache les données clés dans un data mart.
• Performances et Disponibilité :
  • Améliorations au traitement intelligent des requêtes (IQP)
  • Le réglage automatique utilise l'intelligence intégrée pour surveiller en permanence les requêtes exécutées sur une base de données et améliorer automatiquement leurs performances.
  • Les recommandations de performance permettent aux clients d'analyser une base de données et d'obtenir une liste de recommandations pour améliorer la performance de cette base de données.
  • Améliorer la disponibilité des bases de données grâce à la récupération accélérée de vos bases de données et pour accélérer leur mise en ligne.
• Sur le moteur de base de données :
  • Arrivée des indexes sur des colonnes chiffrées
  • Suspension et reprise des analyse initiale pour Transparent Data Encryption (TDE)
  • Gestion des certificats dans SQL Server Configuration Manager
  • Définissez des actions de suppression en cascade sur une contrainte de bord dans une base de données graph
  • Nouvelle fonction graph SHORTEST_PATH
  • Les données des tables et index partitionnés sont divisées en unités qui peuvent être réparties sur plus d'un groupe de fichiers dans une base de données graph.
• Divers :
  • SQL Server 2019 fonctionne sous Windows, Linux et conteneurs et prend en charge le déploiement sur Kubernetes. Vous pouvez déployer sur plusieurs distributions Linux, y compris RedHat, SUSE et Ubuntu, avec une prise en charge complète du moteur de base de données, y compris la réplication des transactions et les services de formation machine.
  • Le framework d'extensibilité SQL Server supporte maintenant l'exécution de code Java personnalisé selon les mêmes lignes qu'il exécute R et Python.
  • Support des caractères UTF-8

Pour connaître le détail complet des nouveautés, rendez-vous sur : What's new in SQL Server 2019

Plus d’informations sur : https://cloudblogs.microsoft.com/sqlserver/2019/07/24/sql-server-2019-community-technology-preview-3-2-is-now-available   

Télécharger SQL Server 2019 Release Candidate

Gartner vient de publier le résultat de l’étude 2019 sur l’Unified Endpoint Management (UEM). Microsoft est confirmé par les leaders du marché. Ceci confirme les efforts réalisés et l’engouement des entreprises autour d’EM+S. Le plus intéressant reste le fait que Microsoft est positionné comme étant le plus à même d’exécuter sa vision. De l’autre côté, MobileIron continue sa descente dans les leaders puisqu’il passe derrière Citrix. VMware résiste grâce à un bundle proposé pour faire concurrence à Microsoft.

Plusieurs éléments sont évalués : Les capacités sur la partie MDM, MAM, Identité Mobile, Gestion du contenu Mobile, et l’encapsulation. Microsoft a montré en moins d’un an des actions positives autour de l’Enterprise Mobility + Security (EMS), Office 365, les applications Office, Azure Information Protection, Azure Active Directory etc.

Parmi les forces :

• Les clients Enterprise Agreement qui utilisent la vision de Microsoft 365 constatent une intégration étendue entre les produits et qui expose des capacités qui sont difficiles à reproduire au coup par coup.
• L'intégration avec ConfigMgr et les capacités de migration incrémentielle pour les PCs vers Microsoft Intune et le Co-Management de ConfigMgr peuvent réduire la complexité de la transition.
• L'intégration avec les applications mobiles Office 365 est complète ; Intune est nécessaire pour implémenter l'accès au niveau applicatif des contrôles de prévention de la perte de données tels que le contrôle de "Enregistrer sous", la restriction du "copier/coller" et l'activation des fonctions multi-identités.

Parmi les faiblesses :

• Les entreprises qui investissent des sommes importantes dans certains produits de gestion d'identité (par exemple, Ping Identity et Okta) devraient évaluer soigneusement si l'absence d'intégration complète d'Intune avec ces produits permet d'exploiter pleinement les fonctionnalités liées à l'identité qu'elles comptent déployer, notamment sur les appareils mobiles.
• La prise en charge de macOS évolue rapidement dans Intune mais accuse un retard par rapport à de nombreux concurrents. Les entreprises qui utilisent macOS, doivent confirmer que la prise en charge de toutes les fonctionnalités requises pour gérer cette plate-forme est disponible avant le déploiement.
• La prise en charge de la gestion des périphériques Chrome OS n'est actuellement pas disponible avec Intune. Sur ce point Google restreint volontairement l’accès à la gestion à Microsoft.

Vous pouvez accéder au rapport sur : https://aka.ms/IntuneMQ

Source : https://officeblogs.wpengine.com/en-us/2019/08/14/microsoft-is-a-leader-in-the-gartner-magic-quadrant-for-unified-endpoint-management-2019/

Microsoft vient d’annoncer la mise à disposition d’un nouvel ensemble de fonctionnalités pour Microsoft Intune.

Les fonctionnalités suivantes sont ajoutées :

Enregistrement des périphériques

• [Android] L’option d’enregistrement Android Device Administrator a été ajoutée à la page d’enregistrement Android (Intune > Device enrollment > Android enrollment)

• [iOS] Vous pouvez passer plus d’écran de l’assistant Setup Assistant :
  • Pour iOS : Appearance, Express Language, Preferred Language, Device to Device Migration
  • Pour macOS : Screen Time, Touch ID Setup.
• [Windows 10] Vous pouvez maintenant ajouter une colonne utilisateur au CSV uploadé pour les périphériques Autopilot. Ceci vous permet d'assigner des utilisateurs en masse au moment de l'importation du CSV. Le nouveau format des lignes dans le CSV ressemble à ceci : numéro de série, windows-product-id, hardware-hash, optional-group-tag, optional-assigned-user.

Gestion du périphérique

• [Général] Vous pouvez définir le délai de nettoyage automatique des périphériques à 30 jours (au lieu de 90 jours auparavant) après la dernière connexion. Pour ce faire, accédez à Intune > Devices > Setup > Device Clean Up Rules.

• [Android] Le numéro de Build est inclus sur la page Matériel des périphériques Android.
• [macOS] Amélioration des messages d’état du périphérique pour le chiffrement FileVault sur macOS.

Configuration du périphérique

• [Général] Intune supporte l'installation et l'utilisation de plusieurs connecteurs de certificats PKCS. Cette modification prend en charge l'équilibrage de charge et la haute disponibilité du connecteur. Chaque instance de connecteur peut traiter les demandes de certificat de Intune. Si un connecteur n'est pas disponible, les autres connecteurs continuent de traiter les demandes. Pour utiliser plusieurs connecteurs, vous n'avez pas besoin de mettre à jour la dernière version du logiciel du connecteur.
• [Android Enterprise] Intune supporte la création d’une configuration de périphérique pour Zebra Technologies avec OEMConfig. Pour rappel, OEMConfig est généralement utilisé pour configurer des paramètres qui ne sont pas intégrés à Intune. Différents OEMs incluent différents réglages. Les paramètres disponibles dépendent donc de ce que l'OEM inclut dans son application OEMConfig. OEMConfig est un standard défini par la communauté AppConfig qui permet aux OEM et aux EMM de créer et de prendre en charge des fonctions spécifiques OEM de manière standardisée. Historiquement, les EMM, comme Intune, construisent manuellement la prise en charge des fonctionnalités spécifiques aux OEM après leur introduction par l'OEM.

• [Android Enterprise] De nouvelles fonctionnalités pour le mode périphérique dédié (Kiosk) dans un mode multi-application dans Device configuration > Profiles > Create profile > Android Enterprise comme plateforme > Device Owner only, Device restrictions comme type de profil :
  • Le bouton virtuel (Virtual home button) peut être affiché en glissant vers le haut sur l'appareil ou en flottant sur l'écran pour que les utilisateurs puissent le déplacer.
  • Flashlight access permet aux utilisateurs d'utiliser la lampe de poche.
  • Media volume control permet aux utilisateurs de contrôler le volume du périphérique à l'aide d'un curseur.
  • Enable a screensaver, télécharge une image personnalisée, et contrôle quand l'économiseur d'écran s'affiche.

• [Android Enterprise] De nouveaux profils de configuration et d’applications sont disponibles pour Android Enterprise Fully Managed (COBO) avec notamment :
  • Les stratégies de configuration de l'application pour déployer les paramètres de messagerie Outlook, Gmail et Nine Work.
  • Les profils de configuration des périphériques pour déployer les paramètres de certificat racine approuvés.
  • Les profils de configuration des périphériques pour déployer les paramètres VPN et Wi-Fi. Pour l’instant, seule l’authentification par utilisateur/mot de passe est disponible. L’authentification par certificat n’est pas encore disponible.

• [iOS] De nouveaux paramétrages de restriction sont disponibles pour les périphériques supervisés à partir d’iOS 13.0 ou plus :
  • Keyboard and Dictionary
    • Quickpath (supervised only)
  • Built-in Apps
    • Find my iPhone (supervised only)
    • Find My Friends (supervised only)
  • Wireless
    • Modification of Wi-Fi state (supervised only)

• [iOS] Apple a passé certains paramétrages existants de restriction de périphérique uniquement pour les périphériques supervisés. Ceci s’applique à iOS 13.0 ou plus et inclus :
  • App Store, Doc Viewing, Gaming
    • App store (supervised only)
    • Explicit iTunes, music, podcast, or news content (supervised only)
    • Adding Game Center friends (supervised only)
    • Multiplayer gaming (supervised only)
  • Built-in Apps
    • Camera (supervised only)
    • FaceTime (supervised only)
    • Safari (supervised only)
    • Autofill (supervised only)
  • Cloud and Storage
    • Backup to iCloud (supervised only)
    • Block iCloud Document sync (supervised only)
    • Block iCloud Keychain sync (supervised only)

Si ces paramètres ont été configurés et assignés à des périphériques non supervisés avant la sortie de iOS 13.0, les restrictions s'appliqueront toujours aux périphériques non supervisés, même après leur mise à niveau vers iOS 13.0. Toutefois, ces restrictions seront supprimées pour les périphériques non supervisés qui sont sauvegardés et restaurés.

• [macOS] Il est maintenant possible de contrôler les applications, fichiers, documents et dossiers qui s'ouvrent lorsque les utilisateurs se connectent à des périphériques macOS via Device configuration > Profiles > Create profile > macOS comme plateforme > Device features pour type de profil.

• [macOS] Un nouveau paramétrage est disponible pour macOS 10.15 : Handoff (dans la catégorie Cloud and Storage) permet d’empêcher les utilisateurs de commencer à travailler sur un périphérique macOS et de continuer à travailler sur un autre périphérique macOS ou iOS.

• [Windows 10] Ajout du paramétrage Deadline settings pour remplacer « Allow user to restart (engaged restart) ». Ce dernier sera désactivé dans Intune en septembre 2019 puis complètement retiré en octobre. Ce paramètre remplace déjà l’ancien sur Windows 10 1903+. Il est prévu ce même remplacement pour des versions antérieures.

• [Windows 10] Microsoft résout un problème de longue date où les paramétrages d’analyse Windows Defender Antivirus (Time to perform a daily quick scan et Type of system scan to perform) remontent en état Failed.  Avec ce correctif, l’état remonte en succès quand l’analyse a été réalisée correctement.

Gestion des applications

• [iOS] Les administrateurs peuvent gérer si une application est supprimée ou conservée sur un périphérique lorsque le périphérique est retiré de la solution de gestion par l'utilisateur ou du groupe de périphériques par l’administrateur.

• [Windows 10] Vous pouvez catégoriser les applications du Microsoft Store for Business. Pour ce faire, choisissez Intune > Client apps > Apps > Selectionnez une application Microsoft Store for Business > App Information > Category. Dans le menu déroulant, attribuez une catégorie.

• [Android] L'application Microsoft Intune pour Android (Fully Managed) prend désormais en charge l'affichage des notifications de push personnalisées, en l'alignant sur la prise en charge récemment ajoutée dans les applications du portail d'entreprise pour iOS et Android.

Sécurité

• [Général] Une nouvelle balise d’étendue par défaut est maintenant disponible. Tous les objets Intune non taggués qui prennent en charge les balises d’étendue sont automatiquement affectés à la balise d’étendue par défaut. La balise d’étendue Default est ajoutée à toutes les assignations de rôles existantes pour maintenir la parité avec l'expérience admin d'aujourd'hui. Si vous ne voulez pas qu'un administrateur voit les objets Intune avec la balise scope par défaut, supprimez la balise scope par défaut de l'affectation des rôles. Cette fonctionnalité est similaire à celle des étendue de sécurité du System Center Configuration Manager.

Plus d’informations sur : https://docs.microsoft.com/en-us/intune/whats-new

Microsoft vient d’annoncer une version bêta de Microsoft Edge pour Windows et macOS. Cette version est donc plus stable que la version de développement ou Canary qui correspondraient à l’équivalent du Fast Ring. La bêta est l’équivalent de la version Slow Ring. Cette version sera mise à jour toutes les 6 semaines avec bien entendu des mises à jour plus fréquentes avec des corrections de bugs et de problèmes de sécurité. Pour rappel, cette version de Microsoft Edge intègre le moteur Chromium de Google mais elle possède les forces et l’interface que Microsoft avait construit pour l’ancienne version de Microsoft Edge.

Cette version offre une personnalisation dans 14 langues et de nombreuses fonctionnalités pour l’utilisateur final. Elle intègre aussi les annonces réalisées pour les entreprises lors de la Build comme :

• Le mode Internet Explorer
• Microsoft Search intégré à Bing pour réaliser des recherches d’éléments relatifs au travail (documents, sites, emplacement, etc.)
• Windows Defender Application Guard

Outre, l’annonce de cette bêta, Microsoft annonce les collections pour les utilisateurs de la version Canary.

Télécharger Microsoft Edge Bêta

Source : https://blogs.windows.com/windowsexperience/2019/08/20/introducing-microsoft-edge-beta-be-one-of-the-first-to-try-it-now/

Plusieurs entreprises ont remonté un problème de synchronisation de certaines mises à jour pour le .NET Framework publiées à l’occasion du Patch Tuesday d’août 2019 avec System Center Configuration Manager 1810 ou ultérieur.

Les mises à jour suivantes sont concernées :

• Microsoft .NET Framework 4.7.2 for Windows Server 2012 for x64 (KB4054542)
• Microsoft .NET Framework 4.7.2 for Windows Server 2008 R2 for x64 (KB4054530)
• Microsoft .NET Framework 4.7.2 for Windows 7 for x64 (KB4054530)
• Microsoft .NET Framework 4.7.2 for Windows 7 (KB4054530)

Actuellement, plusieurs solutions s’offrent à vous :

• Appeler le support Microsoft pour obtenir la solution de contournement débloquant le problème. Cette dernière vise à éditer la base de données.
• Décliner ces mises à jour manuellement dans WSUS pour que la synchronisation ait lieu correctement. Cela implique que vous ne pourrez pas les déployer.
• Attendre que Microsoft publie un correctif cumulatif dans les quelques jours à venir.

Source : Twitter

Voici le récapitulatif des annonces faites par Microsoft concernant sa plateforme Microsoft Azure.

Parmi les annonces, on retrouve notamment :

General

• On retrouve de nombreuses nouveautés sur la gestion du coût dans Azure (Azure Cost Management) avec notamment :
  • Ajout de l’usage Marketplace pour les abonnements Pay-as-you-go
  • Microsoft vous propose d’essayer Cost Management Labs, une interface proposant les nouveautés en préversion. On retrouve par exemple actuellement des fonctions permettant de sauvegarder et partager une vue personnalisée directement dans l’analyse de coût, etc.
  • Microsoft va introduire la capacité de sauvegarder et partager des vues personnalisées dans la partie Cost Analytics. Vous pourrez ainsi partager un lien direct à des utilisateurs du portail.
  • Azure Cost Management va permettre de voir le coût dans différentes monnaies en convertissant ce dernier dans une seule devise.
  • Vous pouvez maintenant gérer les départements et stratégies EA directement depuis le portail Azure.
  • Les ressources de type VPN Gateways supportent maintenant les tags.
  • La limite du nombre de tags par ressource passe à 50.
• Microsoft ajoute de nouvelles fonctionnalités aux réservations :
  • Vous pouvez maintenant configurer vos réservations pour qu'elles soient renouvelées automatiquement. Ceci vous assure que vous continuerez de bénéficier des réductions de réservation sans aucune interruption. Vous pouvez choisir de renouveler automatiquement vos réservations à tout moment pendant la durée de la réservation.
  • Vous pouvez maintenant délimiter les réservations à un groupe de ressources. Cette fonction est utile dans les scénarios où le même abonnement comporte des déploiements de plusieurs centres de coûts, représentés par leurs groupes de ressources respectifs, et où la réservation est achetée pour un centre de coûts particulier.
  • Amélioration des données d’usage avec les informations d'achat de la réservation et de remboursement des frais de réservation, quelle ressource a consommé combien d'heures d'une réservation et refacturer les données pour l'utilisation, combien d'heures d'une réservation n'ont pas été utilisées. Vous pouvez calculer les économies de réservation
  • Un plan de préachat Azure Databricks permettant d’économiser jusqu’à 37%.
  • Économisez jusqu'à 40 % sur vos frais liés à l’App Service Isolated Stamp.
  • On retrouve aussi une API pour l’achat des réservations (avec le SKU, le calcul du coût, etc.)
• Microsoft annonce l'acquisition de jClarity pour améliorer les charges de travail Java dans Azure.

Azure Computer

• Preview d’Azure Dedicated Host, un nouveau service qui permet aux entreprises d’exécuter des machines virtuelles Windows et Linux sur des serveurs physiques unique au tenant. Ceci permet de donner du contrôle et de la visibilité et permet de répondre aux besoins de conformité et des règles des autorités de réglementation. Ce mode est aussi concerné par l’Azure Hybrid Benefit afin d’appliquer le bénéfice des licences On-Premises. Azure Dedicated Host vous permet de choisir le type d’hôte, la marque et les capacités du processeur, le nombre de cœurs, le type et la taille des machines virtuelles que vous souhaitez déployer. Vous pouvez différer les opérations de maintenance de l'hôte et de les appliquer dans une fenêtre de maintenance définie, 35 jours.
• Microsoft annonce le projet Tardigrade visant à améliorer la disponibilité des machines virtuelles Azure.
• Annonce de la preview prochaine de la quatrième génération de machines virtuelles pour les charges de visualisation GPU (NVv4) avec des processeurs AMD EPYC 7002 et des GPU Radeon MI25. Les clients peuvent choisir parmi les VMs avec un GPU complet jusqu'à 1/8ème d'un GPU. Cela permet d’adapter les coûts pour des charges de travail avec du GPU d'entrée de gamme et de faible intensité, tout en offrant aux clients la possibilité d'évoluer vers une puissance de traitement GPU complète. Les machines virtuelles NVv4 prennent en charge jusqu'à 32 vCPU, 112 Go de RAM et 16 Go de mémoire GPU. Ces machines seront disponibles en South Central US et West Europe dans un premier temps
• Annonce de la deuxième génération de machines virtuelles pour les calculs à hautes performances (HBv2). Les machines virtuelles HBv2 disposent de 120 cœurs de CPU de la série AMD EPYC Série 7002, 480 Go de RAM, 480 Mo de cache L3, et aucun multithreading simultané (SMT). Les machines virtuelles HBv2 fournissent jusqu'à 350 Go/sec de bande passante mémoire. Chaque machine virtuelle HBv2 offre également jusqu'à 4 teraFLOPS de performance double précision et jusqu'à 8 teraFLOPS de performance précision simple.
• Mise à jour du composant additionnel de haute disponibilité pour Red Hat Enterprise Linux pour améliorer les performances de Pacemaker le gestionnaire de ressources. On retrouve aussi de nouvelles images RHEL avec le composant additionnel de haute disponibilité dans le mode Pays as you go (PAYG) du MarketPlace. Enfin, on retrouve aussi des images RHEL pour SAP avec ce composant additionnel de haute disponibilité.

Azure Storage

• Disponibilité Générale d’Azure Ultra Disk Storage, un disque géré Azure offrant des performances accrues en matière d’I/O avec 300 IOPS par GB pour un maximum de 160K IOPS par disque et donc une vitesse de 2000 MB/S par disque. Cette catégorie de disques rejoint les catégories Premium SSD, Standard SSD, et Standard HDD. Microsoft a construit l’Ultra Disk Storage sur la technologie Locally Redundant Storage (LRS) qui stocke trois copies de données dans la même zone de disponibilité. Ces disques sont disponibles dans les régions East US 2, North Europe, Southeast Asia et sur les types de machines DSv3 et ESv3.
• Preview du stockage Geo Zone Redundant Storage (GZRS) fournissant l’alliance de hautes performances, de la haute disponibilité, et de la restauration après désastre (notamment d’une région entière). On retrouve aussi le mode Read Access Geo Zone Redundant Storage (RA-GZRS). Ce mode est disponible dans la région US East pour la Preview.
• Azure Files :
  • Disponibilité générale de l’authentification Azure Active Directory Domain Services (AADDS) pour Azure Files. Ceci permet de monter un partage de fichiers Azure en SMB en utilisant des identifiants Azure AD DS à partir des machines virtuelles Windows avec des ACLs NTFS. On retrouve notamment une intégration intégrée avec l’explorateur de fichiers pour l’assignation de permissions. On retrouve aussi trois rôles RBAC : Storage File Data SMB Share Elevated Contributor, Contributor, et Reader.
  • Mise à jour (7.2.0.0) de l’agent Azure File Syncv.
• Azure Archive Storage
  • Baisse des prix d’Azure Archive Storage jusqu’à 50% dans certaines régions.
  • Public Preview de la Pirority Retrieval permettant (moyennant un surcoût) de faire la réhydratation rapide des données du niveau d'archive vers les niveau hot ou cool. On retrouve deux options : Standard (paramètre actuel pouvant aller jusqu'à 15 heures) et High (nouvelle option en moins d'une heure)
  • Public Preview de la fonctionnalité d'envoyer direct de blob dans le niveau d'accès souhaité (hot, cool, etc.)

Azure Security Center

• Disponibilité générale d’Azure Security Center pour IoT. Azure Security Center vous permet de protéger votre déploiement IoT de bout en bout en identifiant et en répondant aux menaces émergentes, ainsi qu'en trouvant les problèmes dans les configurations avant que les attaquants puissent les utiliser pour compromettre le déploiement.

Operations Management Suite (OMS)

• Azure Site Recovery (ASR) supporte maintenant la restauration pour des machines virtuelle avec le chiffrement de disque Azure (Azure disk encryption v2) et sans application Azure AD. Lors de la réplication de machine virtuelle, toutes les clés et secrets de chiffrement de disque requis sont copiés de la région source vers la région cible dans le contexte utilisateur. Si l'utilisateur qui gère la restauration après désastre, ne dispose pas des autorisations appropriées, il peut remettre le script prêt à l'emploi à l'administrateur pour copier les clés et les secrets et procéder à la configuration. Ce mode n’est supporté que pour les machines virtuelles Windows avec des disques gérés. Le support de Linux est attendu dans les prochaines semaines.

Azure Functions et App Service

• Disponibilité générale des identités gérées (Managed Identity) pour Linux dans Azure App Service et Azure Functions. Ceci permet à une application de donner accès à d'autres ressources protégées (Azure Key Vault, etc.)
• Disponibilité Générale des identités gérées assignées à l'utilisateur pour Azure App Service et Azure Functions. Ces identités ne sont pas assignées au système (à la ressource) mais à un utilisateur.
• Disponibilité Générale du support de Python dans Azure Functions.

Azure Blockchain

• De nouvelles fonctionnalités ont été apportée au service Azure Blockchain Servicev

• • Un debugger interactif
  • Le kit de développement génère maintenant une interface utilisateur qui est rendue et activée dans Visual Studio Code.
• Sur la partie BlockChain, on retrouve une nouvelle offre SIMBA proposant une plateforme Smart Contract as a Service (SCaaS) afin de construire des applications décentralisées.

Azure SQL

• Microsoft a mis à jour le niveau de service d’Azure SQL Database à 99,995% pour des bases de données redondantes sur zone dans son niveau business critical. Microsoft offre aussi un SLA de continuité d'activité pour les bases de données du niveau critique qui sont géo-répliquées entre deux régions Azure différentes. Ce niveau de service est associé à un RPO de cinq secondes et d'un RTO de 30 secondes, y compris un crédit mensuel de 100 % lorsque le SLA n'est pas maintenu.

Autres services

• Disponibilité Générale de la version 3 du SDK Azure Cosmos DB .NET.
• Preview Août 2019 du SDK Azure avec les nouveautés suivantes :
  • Storage Libraries pour Java supporte les fichiers et les files d'attente.
  • Storage Libraries pour Python a ajouté des versions Async des API pour les fichiers, les files d'attente et les blobs.
  • Les bibliothèques Event Hubs dans plusieurs langues ont étendu la prise en charge de l'envoi de plusieurs messages en un seul appel en ajoutant la possibilité de créer un lot en évitant le scénario d'erreur où un appel dépasse les limites de taille et en donnant un contrôle de taille de lot aux développeurs ayant des problèmes de bande passante.
  • Les bibliothèques Event Hubs ont introduit un nouveau modèle de consommation d'événements via la classe EventProcessor qui simplifie le processus de checkpointing aujourd'hui et gérera l'équilibrage de charge entre les partitions.
• Preview des actions GitHub pour Azure DevOps permettant de gérer l’authentification avec un abonnement Azure, le déploiement vers Azure App Services, la gestion des conteneurs, et les actions relatives aux clusters Kubernetes.
• Azure Databricks est disponible dans de nouvelles régions : South Africa & South Korea.
• Azure Stream Analytics supporte maintenant MATCH_RECOGNIZE permettant de réduire le coût la complexité pour créer, modifier et maintenir des requêtes correspondants à des séquences d’événéments.

Microsoft a changé les prérequis nécessaires pour recevoir des mises à jour de sécurité sur Windows 7 SP1, Windows Server 2008 R2 SP1 and Windows Server 2008 SP2. Jusqu’à maintenant, les mises à jour du système d'exploitation Windows étaient doublement signées à l'aide des algorithmes de hachage SHA-1 et SHA-2 pour authentifier que les mises à jour proviennent directement de Microsoft et n'ont pas été modifiées pendant la livraison. En raison des faiblesses de l'algorithme SHA-1 et pour s'aligner sur les normes de l'industrie, les mises à jour sont maintenant signées avec un certificat de signature de code SHA-2.

Pour les systèmes Windows 10 1709, 1803, 1809 et Windows Server 2019, le changement du mode de signature double (SHA1 et SHA2) a été fait le 18 juin 2019 sans impact pour les entreprises.

Pour les systèmes Windows 10 1507, 1607, et 1703, le changement du mode de signature double (SHA1 et SHA2) a été fait le 16 juillet 2019 sans impact pour les entreprises.

Pour les systèmes Windows Server 2012, Windows 8.1, Windows Server 2012 R2, , le changement du mode de signature double (SHA1 et SHA2) est prévu pour le 10 septembre 2019 sans impact pour les entreprises.

Le problème peut donc concernés ces anciens systèmes qui n’ont pas de support pour SHA-2 par défaut. Ainsi le Patch Tuesday de juillet 2019 était le dernier disponible en SHA-1 et celui publié le mardi 13 août n’a été publié qu’en version SHA-2.

Microsoft a publié des mises à jour de sécurité pour les systèmes suivants :

• Windows 7 SP1 et Windows Server 2008 R2 SP1 : KB4474419et KB4490628
• Windows Server 2008 SP2 : KB4493730 et KB4474419

En outre si vous utilisez WSUS 3.0 SP2 sur Windows Server 2008 SP2 et Windows Server 2008 R2 SP1 (ce qui ne devrait pas être le cas de beaucoup d’entreprises), vous devez appliquer manuellement la mise à jour suivante KB4484071 pour supporter SHA-2

Source : 2019 SHA-2 Code Signing Support requirement for Windows and WSUS

Après le Patch Tuesday d’août 2019 et l’installation de la mise à jour KB4511553, certaines applications Visual Basic 6 (VB6), VBA, et VBScript peuvent cesser de répondre et renvoyer l’erreur : invalid procedure call error.

Les systèmes suivants sont concernés :

• Clients : Windows 10 1903; Windows 10 1809; Windows 10 Enterprise LTSC 2019; Windows 10 1803; Windows 10 1709; Windows 10 1703; Windows 10 Enterprise LTSC 2016; Windows 10 1607; Windows 10 Enterprise LTSC 2015; Windows 8.1; Windows 7 SP1
• Serveurs : Windows Server 1903; Windows Server 1809; Windows Server 2019; Windows Server 1803; Windows Server 1709 ; Windows Server 2016; Windows Server 2012 R2; Windows Server 2012; Windows Server 2008 R2 SP1; Windows Server 2008 SP2

Microsoft travaille sur un correctif qui sera mis à disposition de manière optionnelle.

La première mise à jour a été publiée pour Windows 7 SP1 and Windows Server 2008 R2 (KB4517297). Les autres vont suivre dans les prochains jours.

Plus d’informations sur la page Windows 10 Known Issues

Microsoft vient de mettre à disposition pour tous (Slow RIng), la version finale (5.00.8853.1000) de System Center Configuration Manager 1906. ConfigMgr a subi une refonte de sa structure pour permettre des mises à jour aisées de la même façon que l’on peut le voir avec Windows 10. C’est pourquoi la fonctionnalité Updates and Servicing (nom de code Easy Setup) a été introduite. Si vous utilisez System Center 2012 Configuration Manager, vous devez mettre à jour votre site vers System Center Configuration Manager 1806 avant de pouvoir passer à cette version. Pour les versions antérieures, la version minimale est aussi System Center Configuration Manager 1806.

Cette version arrête le support des fonctionnalités suivantes :

• La Cloud Management Gateway et le Cloud Distribution Point dans un mode de déploiement classique Azure.
• Vous ne pouvez pas installer de nouveaux rôles de catalogue d'applications. Les clients mis à jour utilisent automatiquement le Management Point pour les déploiements d'applications disponibles aux utilisateurs.
• Fin de support de Windows CE 7.0, Windows 10 Mobile, et Windows 10 Mobile Enterprise

Outre cela, Microsoft signe maintenant ses binaires avec un certificat de signature de code SHA-2. De ce faire, vous devez appliquer des mises à jour sur les systèmes suivants :

• Windows 7 SP1
• Windows Server 2008 R2 SP1
• Windows Server 2008 SP2

System Center Configuration Manager 1906 comprend les nouveautés suivantes :

Administration

• Support de Windows Virtual Desktop pour permettre de gérer ces environnements virtuels dans Azure. Pour améliorer les performances du client, ConfigMgr désactive désormais les stratégies utilisateur sur tout périphérique qui autorise ces sessions utilisateurs multiples. Même si vous activez les règles utilisateur, le client les désactive par défaut sur ces périphériques, qui incluent Windows Virtual Desktops et Remote Desktop.
• Preview de OneTrace est une nouvelle visionneuse de journaux inclue dans Support Center. Il fonctionne de manière similaire à CMTrace. Ils fonctionnent avec les logs ConfigMgr, les messages d’état, et les logs Windows Update.
• La console d’administration retrouve un onglet Maintenance Tasks qui permet de voir si la tâche de maintenance est activée, la planification, la dernière date de démarrage, la dernière date d’exécution et si la tâche s’est exécutée avec succès. Cet onglet est disponible dans Administration – Site Configuration – Sites.

• Lors de l’application d’une mise à jour Configuration, vous pouvez voir l’état de la mise à niveau de la base de données ConfigMgr dans la partie Installation. Ceci permet de voir si la mise à niveau de la base de données est bloquée par un programme. Vous pouvez voir l’identifiant de session qui bloque la base de données.
• Un nouvelle règle Management Insight détecte si vous avez activé la méthode de repli d'authentification NTLM moins sécurisée pour le site.

• Vous pouvez ajouter via l’installeur Configuration Manager, un second nœud réplica sur un groupe de disponibilité AlwaysOn de SQL Server. Il n’est plus nécessaire de réaliser ces actions manuellement.
• Le Management Point vérifie désormais toutes les cinq minutes l'état de santé de son service utilisateur. Il signale tout problème via des messages de statut pour le composant de site SMS_MP_CONTROL_MANAGER.
• Concernant les paramétrages du client :
  • Vous pouvez maintenant spécifier la durée minimale pendant laquelle le client Configuration Manager doit conserver le contenu mis en cache. Ce paramètre client contrôle la durée pendant laquelle le client stocke le contenu dans le cache avant de le supprimer. Dans le groupe Client cache settings des paramètres client, configurez les paramètres suivants : Minimum duration before cached content can be removed (minutes).
  • Dans le groupe Client cache settings des paramètres client, le paramètre existant Enable Configuration Manager client in full OS to share content est maintenant renommé Enable as peer cache source. Le comportement du réglage ne change pas.

Services Cloud

• Microsoft introduit une découverte des groupes d'utilisateurs et les membres de ces groupes dans Azure Active directory (Azure AD). Les utilisateurs trouvés dans les groupes Azure AD qui n'ont pas encore été découverts seront ajoutés en tant que ressources utilisateur dans Configuration Manager. Un enregistrement de ressource de groupe d'utilisateurs est créé lorsque le groupe est un groupe de sécurité.
• Vous pouvez maintenant créer des collections sur la base d’un groupe Azure Active Directory. Les membres de la collection sont ainsi automatiquement synchronisés en fonction des membres du groupe Azure Active Directory (statique ou dynamique). Seuls les périphériques ayant un enregistrement Azure Active Directory sont pris en compte dans le groupe Azure AD. Les appareils Hybrid Azure AD Joined et Azure Active Director Joined sont supportés.
  Cette fonctionnalité est en préversion.
• Microsoft propose un estimateur/calculateur de coût des services Cloud. L'outil utilise les données suivantes de la base de données de site pour estimer le coût de déploiement de la Cloud Management Gateway :
  • Utilisation globale et moyenne des Management Points et des points de distribution par les clients
  • Prix Azure

Le tableau de bord est disponible à partir de l’espace Monitoring – Cloud Management. Par défaut, l’outil n’utilise les données que des portables, que les stratégies clientes (pas le contenu), 30 jours d’usage de données cliente et une moyenne de 10% de clients communiquant simultanément avec des cloud service. Notez que pour l’instant, les prix sont fixés en dur pour West US, West Europe, et North Europe.

Co-Management

• Améliorations de l’enregistrement automatique du Co-Management :
  • Un nouveau périphérique cogéré peut maintenant automatiquement s’enregistrer dans Microsoft Intune en utilisant le token périphérique Azure AD. Il n'est pas nécessaire d'attendre qu'un utilisateur se connecte au périphérique pour que l'enregistrement automatique commence. Cette modification permet de réduire le nombre de périphérique ayant le statut d’enregistrement Pending user sign in. Pour supporter ce comportement, les clients doivent exécuter Windows 10 version 1803 ou ultérieur.
  • Pour les clients dont certains périphériques sont déjà cogérés, les nouveaux périphériques s'inscrivent dès qu'ils remplissent les conditions préalables. Par exemple, une fois que le périphérique est relié à Azure AD et que le client Configuration Manager est installé.
• Support du Co-management avec Microsoft Azure US Government Cloud.
• La configuration du Co-Management évolue pour permettre de cibler différentes collections de pilote en fonction des charges de travail que vous souhaitez tester. Ce choix se justifie car vous pouvez avoir besoin de population pilote différent lors du passage des stratégies de conformité, ou des configurations de périphériques (par exemple) sur Microsoft Intune.

Desktop Analytics

• Vous pouvez désormais obtenir des informations plus détaillées pour vos applications, y compris les applications métier. L'ancien outil App Health Analyzer est maintenant intégré avec le client Configuration Manager. Cette intégration simplifie le déploiement et la gestion de l’évaluation de la compatibilité des applications dans le portail Desktop Analytics.
• L'outil DesktopAnalyticsLogsCollector.ps1 du répertoire d'installation Configuration Manager permet de vous aider à dépanner Desktop Analytics. Il exécute quelques étapes de dépannage de base et rassemble les journaux pertinents dans un répertoire de travail unique.

Note : Pour ceux qui n’auraient pas passé le Correctif pour Configuration Manager 1902, Desktop Analytics a fait son apparition de manière supportée dans cette version. La Version 1906 introduit le service sans prérequis particulier.

Gestion en temps réel

• CMPivot permet d’utiliser des opérateurs arithmétiques, d'agrégateurs et de la possibilité d'ajouter des jointures de requête pour permettre l'utilisation simultanée du registre et des fichiers. Les éléments suivants ont été ajoutés : opérateurs (Join, Render), opérateurs scalaires (+, -, *, /, %), fonctions d’agrégation (Percentile(),sumif()) et fonctions scalaires . Pour rappel, CMPivot est un nouvel utilitaire dans la console qui permet d'accéder en temps réel à l’état des périphériques dans votre environnement. Il lance immédiatement une requête sur tous les périphériques actuellement connectés dans la collection cible et renvoie les résultats.
• Ajout des permissions CMPivot au rôle Security Administrator : Read on SMS Script Run CMPivot on Collection, et Read on Inventory Report.
• CMPivot peut être utilisé de manière autonome sans nécessiter la console d’administration. L’outil peut donc être partagé avec d’autres personnes (helpdesk, équipe sécurité, etc.) afin de leur permettre de récupérer des données intéressantes. L’application CMPivot est stockée dans <répertoire d’installation du site>\tools\CMPivot\CMPivot.exe. L’outil doit être copié avec l’ensemble des fichiers (dll, etc.).
  Cette fonctionnalité est en préversion.

Inventaire

• Amélioration d’Asset Intelligence pour augmenter le nombre de titres de logiciels non catégorisés qui peuvent être uploadés en une seule fois vers Microsoft à des fins de catégorisation.

Software Center

• Vous pouvez maintenant ajouter jusqu'à cinq onglets personnalisés dans le Software Center. Vous pouvez également modifier l'ordre dans lequel ces onglets apparaissent dans le Software Center.
• Amélioration des processus sous-jacent au Centre Logiciels/Software Center :
  • Pour les applications en libre-service destinées aux utilisateurs, le Software Center les récupère maintenant à partir du Management Point. Il a ce comportement même si le site a les rôles catalogue d'applications. Cette modification vous permet de supprimer plus facilement ces rôles de site.
  • Auparavant, le Software Center choisissait le premier Management Point dans la liste des serveurs disponibles. À partir de cette version, il utilise le même Management Point que celui utilisé par le client. Ce changement permet au Software Center de s'aligner avec le client et d'avoir le même comportement de repli.
• La notification (New Software is Available) pour spécifier qu’un nouveau logiciel est disponible, ne s'affichera qu'une seule fois pour un utilisateur pour une application et une révision donnée. L'utilisateur ne verra plus la notification chaque fois qu'il se connectera. Ils ne verront une autre notification pour une application que si elle a changé.

• Il est maintenant possible de configurer plus de notifications de compte à rebours pour les redémarrages sur les clients. On retrouve deux paramétrages dans les paramétrages client : Specify the snooze duration for computer restart countdown notifications (hours) et Display a temporary notification to the user that indicates the interval before the user is logged off or the computer restarts (minutes).

• Vous pouvez maintenant fournir un lien direct vers un onglet personnalisé dans le Centre Logiciels/Software Center. Le format doit être le suivant : softwarecenter:page=CustomTab1.

• Basé sur les retours UserVoice, les catégories d'utilisateurs pour les déploiements d'applications ciblées par périphérique apparaissent désormais sous forme de filtres dans le Software Center.

Gestion du contenu

• Le tableau de bord Client Data Sources inclut maintenant les données Delivery Optimization pour voir les informations relatives à ce type de contenu téléchargé par les clients Configuration Manager. Les données ne remontent que celles relatives aux installations des mises à jour express Windows 10.
• Cette version permet d’utiliser un point de distribution comme serveur de cache local pour Delivery Optimization. Cette fonctionnalité est connue sous le nom de Delivery Optimization In-Network Cache (DOINC). Ce serveur de cache fait office de cache à la demande pour le contenu téléchargé par Delivery Optimization. Ce cache est séparé du contenu des points de distribution. Si vous sélectionnez le même lecteur que le rôle de point de distribution, il enregistre le contenu séparément. Vous devez utiliser Windows Server 2012, Windows Server 2012 R2, Windows Server 2016 ou Windows Server 2019. Le serveur doit avoir un accès à Internet. Les clients doivent utiliser à minima Windows 10 1709.
  Le contenu Cloud comprend les types de contenu suivants :
  • Windows Update for Business : Les mises à jour de fonctionnalités et de la qualité de Windows 10
  • Applications Office Click-to-Run : Applications Office et mises à jour
  • Applications client : applications Microsoft Store et mises à jour
  • Endpoint Protection : Mises à jour de définition de Windows Defender
  • Applications issues du Microsoft Store
  • Windows Features On Demand, telles que les langues
  • Si vous activez les stratégies Windows Update for Business : Les mises à jour de fonctionnalités et de la qualité de Windows 10

Gestion des Applications

• L’administrateur peut créer des groupes d’applications qui peuvent être déployés comme une seule entité à l’utilisateur ou la machine. Les métadonnées du groupe d’applications sont vues comme une seule entité dans le Software Center. L’administrateur peut ordonnancer les applications dans le groupe afin de les installer dans un ordre spécifique.

• Vous pouvez maintenant réessayer l'installation d'une application que vous avez déjà approuvée pour un utilisateur ou un périphérique. L'option d'approbation ne s'applique qu'aux déploiements disponibles. Si l'utilisateur désinstalle l'application, ou si le processus d'installation initiale échoue, Configuration Manager ne réévalue pas son état et ne le réinstalle pas. Cette fonction permet à un technicien du support technique de réessayer rapidement l'installation de l'application pour un utilisateur qui solliciterait son aide.
• Depuis la console Configuration Manager, vous pouvez maintenant installer des applications sur un périphérique en temps réel. Cette fonction peut aider à réduire le besoin de collections séparées pour chaque application. Elle requiert certains prérequis.
• Amélioration du processus d’approbation des applications :
  • Si vous approuvez une demande d'application dans la console, puis la refusez, vous pouvez maintenant l'approuver à nouveau. L'application est réinstallée sur le client une fois que vous l'avez approuvée.
  • Dans la console, le nœud Approval Requests est renommé Applications Requets.
  • Il y a une nouvelle méthode WMI, DeleteInstance pour supprimer une demande d'approbation d'application. Cette action ne désinstalle pas l'application sur le périphérique. Si elle n'est pas déjà installée, l'utilisateur ne peut pas installer l'application à partir du Software Center.
  • Appelez l'API CreateApprovedRequest pour créer une demande pré-approuvée pour une application sur un appareil. Pour empêcher l'installation automatique de l'application sur le client, définissez le paramètre AutoInstall sur FALSE. L'utilisateur voit l'application dans le Software Center, mais elle n'est pas installée automatiquement.

Mises à jour logicielles

• La gestion des mises à niveau de Windows 10 supporte maintenant les mises à jour dynamiques. Ceci permet d’automatiquement installer les packs de langues, les fonctionnalités à la demande, les drivers et les correctifs cumulatifs lors de l’exécution de la mise à niveau du système d’exploitation. Ceci adresse un des principaux points de faiblesse de la fonctionnalité Windows 10 Servicing pour passer d’une version de Windows 10 à l’autre. Vous pouvez activer l’option Enable Dynamic Update for Feature Updates dans les paramétrages du client afin de modifier le fichier setupconfig utilisé lors de l’installation de la mise à niveau pour spécifier l’usage des Dynamic Update.

• Vous pouvez maintenant consulter les statistiques de conformité pour voir quels périphériques nécessitent une mise à jour logicielle spécifique. Pour afficher la liste des périphériques, vous devez obtenir l'autorisation d'afficher les mises à jour et les collections auxquelles les périphériques appartiennent.

• C’est deux des points que j’adressais avec l’un des scripts décrit dans mon article sur la maintenance/nettoyage de WSUS :
  • Microsoft ajoute maintenant la capacité de supprimer les mises à jour obsolètes de la base de données WSUS.
  • Microsoft ajoute maintenant les indexes supplémentaires sur les tables suivantes : tbLocalizedPropertyForRevision et tbRevisionSupersedesUpdate

• Vous pouvez maintenant spécifier le temps maximum d’installation attribuée à des mises à jour. Ce paramètre se spécifie au niveau des paramètres du composant Software Update Point. Il change le temps maximum d’exécution pour les nouvelles mises à jour synchronisées. Auparavant, il devait être modifié sur chaque mise à jour. Il impacte l’ensemble des mises à jour associées à la catégorie. On retrouve :
  • Features Updates qui inclut les trois classifications : Upgrades, Update Rollups, Service Packs
  • Non-Feature Updates qui inclut une mise à jour qui n’est pas comprise dans la catégorie Features Updates et pour l’un des produits suivants : Windows 10 (toutes versions), Windows Server 2012, Windows Server 2012 R2, Windows Server 2016, Windows Server 2019, et Office 365.
• La catégorie de produit Windows 10, version 1903 and later a été ajouté à Microsoft Update comme produit dédié plutôt que de faire partie du produit Windows 10 comme les versions précédentes. Ce changement vous a obligé à effectuer un certain nombre d'étapes manuelles pour vous assurer que vos clients voient ces mises à jour. Microsoft a réduit le nombre d'étapes manuelles que vous devez suivre pour le nouveau produit. Lorsque vous mettez à jour ConfigMgr 1906 et que le produit Windows 10 est sélectionné pour la synchronisation, les actions suivantes se produisent automatiquement :
  • Le produit Windows 10, version 1903 and later est ajouté pour la synchronisation.
  • Les règles de déploiement automatique contenant le produit Windows 10 seront mises à jour pour inclure Windows 10, version 1903 and later.
  • Les plans de maintenance (Servicing plans) sont mis à jour pour inclure le produit Windows 10, version 1903 and later.

Déploiement de systèmes d’exploitation

• C’est un projet sur lequel j’ai travaillé il y a deux ans maintenant à un MVP Summit avec Microsoft. Cela prend enfin forme directement dans le produit puisque Microsoft intègre le Task Sequence Debugger pour vous aider à dépanner une séquence de tâches sur un périphérique. Il vous suffit de sélectionner l’option Debug au moment du déploiement de la séquence de tâches. Le Debugger permet de contrôler d’une manière à vous aider à dépanner et investiguer. Vous pouvez spécifier des points de pause puis avancer, reculer, faire de l’étape par étape, etc.

• Il est maintenant possible de débloquer une séquence de tâches verrouillée par le mécanisme SEDO (Serialized Editing of Distributed Objects). Ce scénario peut arriver fréquemment si une console qui éditait la séquence de tâches a crashé inopinément. Ainsi le verrouillage est gardé pour une durée de 30 minutes.
  Cette nouveauté ne s'applique qu'au compte utilisateur qui a créé le verrouillage, et sur le même périphérique à partir duquel le site a accordé le verrou. Lorsque vous tentez d'accéder à une séquence de tâches verrouillée, vous pouvez maintenant Annuler les modifications et continuer à modifier l'objet. Ces changements seraient de toute façon perdus à l'expiration du verrou.

• L'étape Install Application, vous pouvez maintenant supprimer le contenu de l'application du cache client après l'exécution de l'étape. Ce comportement est intéressant sur les périphériques avec de petits disques durs ou lors de l'installation successive d'un grand nombre d'applications de grande taille.

• Il est maintenant possible de précharger dans le cache les packages de drivers et packages ainsi que les images de système d’exploitation. Ceci s’ajoute aux packages de mise à jour de système d’exploitation afin de mieux contrôler l’usage de la bande passante. Vous devez donc spécifier l’architecture et la langue sur l’onglet Data Source de l’image de système d’exploitation. Pour les packages de drivers, vous devez spécifier le modèle dans l’onglet General. Cette valeur doit être celle spécifiée dans la valeur Name de la classe Win32_ComputerSystemProduct.
  Ensuite dans la séquence de tâches, vous pouvez spécifier les conditions sur les étapes Apply OS Image et Apply Drivers Package. Avec des requêtes WMI avec respectivement Select* from Win32_OperatingSystem where locale = ‘04c0’ and OSArchitecture = ’64-bit’ ou select * from Win32_ComputerSystemProduct where Name = "HP EliteBook 820 G4" par exemple. Il ne vous reste plus que de déployer la séquence de tâches avec l’option Pre-download content for this task sequence.

• Lorsque vous créez un média de séquence de tâches, Configuration Manager n'ajoute pas de fichier autorun.inf. Ce fichier est généralement bloqué par les antivirus. Vous pouvez toujours inclure le fichier si nécessaire pour votre scénario. Lorsque vous créez un média de séquence de tâches dans la console Configuration Manager, sur la page Media Type de l'assistant, sélectionnez l'option Include autorun.inf file on media. Par défaut, cette option est désactivée.

• Améliorations générales au déploiement d’OS :
  • Basé sur les retours UserVoice, il est maintenant plus facile d'éditer des variables lorsque vous exécutez une séquence de tâches. Après avoir sélectionné une séquence de tâches dans la fenêtre Assistant Séquence de tâches, la page d'édition des variables de séquence de tâches comprend un bouton Edit.

• • L'étape Disable BitLocker a un nouveau compteur de redémarrage. Utilisez cette option pour spécifier le nombre de redémarrages nécessaires pour que BitLocker reste désactivé. Cette modification simplifie votre séquence de tâches. Vous pouvez utiliser une seule étape, au lieu d'ajouter plusieurs instances de cette étape.
  • On retrouve deux nouvelles cmdlets PowerShell permettant d’éditer ou de créer l’étape Run Task Sequence : New-CMTSStepRunTaskSequence et Set-CMTSStepRunTaskSequence
  • Microsoft ajoute une nouvelle variable de séquence de tâches SMSTSRebootDelayNext qui doit être utilisée en conjonction avec SMSTSRebootDelay. Elle permet de spécifier un timeout différent pour les redémarrages qui suivent le premier redémarrage dont le timeout est défini par SMSTSRebootDelay.
  • Basé sur les retours UserVoice, la séquence de tâches définit une nouvelle variable en lecture seule _SMSTSLastContentDownloadLocation. Cette variable contient le dernier emplacement où la séquence de tâches a téléchargé ou tenté de télécharger du contenu. Vous pouvez regarder cette variable au lieu d'analyser les journaux du client.

Gestion d’Office

• Le nouveau tableau de bord d’évaluation à la mise à niveau du client Office 365 ProPlus introduit dans la 1902 est étoffé. Vous pouvez le consulter en naviguant dans Software Library – Office 365 Client Management – Office 365 ProPlus Upgrade Readiness et permet d’obtenir des éléments sur :
  • L’évaluation des composants additionnels
  • Les déclarations de support des composants additionnels
  • Le TOP Des composants additionnels par version
  • Le nombre de périphériques qui ont des macros
  • L’évaluation des macros

Gestion des paramétrages et de la conformité

• Un nouveau paramétrage de stratégie Windows Defender Application Guard permet d’ouvrir des fichiers de confiance sur l’hôte, qui devraient normalement être ouvert dans l’environnement virtuel Application Guard. Ceci s’applique à Windows 10 1809.

Console Configuration Manager

• Cela a été attendu depuis longtemps, vous pouvez maintenant spécifier des étendues de sécurité sur les dossiers de la console d’administration. Si vous avez accès à un objet dans le dossier mais que vous n'avez pas accès au dossier, vous ne pourrez pas voir l'objet. De même, si vous avez accès à un dossier mais pas à un objet qui s'y trouve, vous ne verrez pas cet objet.

• Vous pouvez maintenant activer certains nœuds de la console Configuration Manager pour utiliser le service d'administration. Ce changement permet à la console de communiquer avec le SMSProvider via HTTPS au lieu de via WMI. Cela fonctionne pour les nœuds : Administrative Users, Security Roles, Security Scopes, et Console Connections.
• Amélioration de la console d’administration pour inclure :
  • Sur le nœud Device, vous pouvez sélectionner un périphérique et dans le panneau de détails ; un nouvel onglet Collections vous permet de lister toutes les collections dans lesquelles le périphérique est inclus. Cette fonction n’est pas disponible sous le nœud Device Collections.
  • Si vous sélectionnez une application dans la partie Software Library et Applications, le panneau de détail affiche un onglet Task Sequence qui référence les séquences de tâches où l’application est référencée.
  • Dans l’espace de travail Monitoring puis Script Status, il liste maintenant le nom des collections en plus des identifiants.
  • Vous pouvez démarrer CMPivot depuis un le nœud correspondant à la collection que vous avez ouverte dans la vue Device Collections.
  • Dans l'espace de travail Monitoring, sélectionnez le nœud Deployments. Sélectionnez un déploiement et choisissez l'action Afficher l'état dans le ruban. Dans le volet d'état de déploiement, double-cliquez sur les ressources totales pour accéder à une liste de périphériques. Lorsque vous sélectionnez un périphérique dans cette liste, vous pouvez maintenant lancer CMPivot et des scripts.
  • Dans l'espace de travail Monitoring, sélectionnez le nœud Cloud Management. Les couleurs dans les donuts pour les clients actuellement en ligne sont maintenant les mêmes que dans le graphique des clients en ligne (30 derniers jours).
  • Dans l'espace de travail Software Library, développez Application Management, puis sélectionnez le nœud Packages. Sélectionnez plus d'un package. Dans le groupe package du ruban, vous pouvez maintenant supprimer plusieurs packages à la fois.
  • Dans les nœuds Devices et Device Collections, vous pouvez maintenant ajouter une nouvelle colonne pour le SMBIOS GUID.

Mettez donc bien à jour vos packages et applications utilisés pour déployer des consoles.

Plus d’informations sur cette version : What’s new in version 1906

Pour obtenir les éléments relatifs au processus de mise à jour : https://docs.microsoft.com/en-us/sccm/core/servers/manage/updates

Microsoft vient de publier une nouvelle version (10.1.0.0) du Management Pack à destination des systèmes d’exploitation Windows Server 2016 et Windows Server 1709 ou plus. Pour rappel, System Center Operations Manager (SCOM) fait partie de la gamme System Center, il propose une supervision souple et évolutive de l’exploitation au niveau de toute l’entreprise, réduisant la complexité liée à l’administration d’un environnement informatique, et diminuant ainsi le coût d’exploitation. Ce logiciel permet une gestion complète des événements, des contrôles proactifs et des alertes, et assure une gestion des services de bout en bout. Il établit des analyses de tendance et des rapports, et contient une base de connaissances sur les applications et le système.

Cette version apporte les éléments suivants :

• Ajout de Microsoft.Windows.Server.Html5.Dashboard.mp
• Mise à jour des scénarios d'exceptions aux requêtes WMI pour la découverte du système d'exploitation
• Correction d’un bug dans le nettoyage (grooming) de la table ProcessCmdDim (Process and Port Monitoring)
• Ajout du support de la tâche Logical Disk Volume Information pour Windows Server 2019
• Ajout du support de la tâche Display Server Statistics pour Windows Server 2019
• Correction des valeurs de fréquence et de seuil incorrectes pour les moniteurs CPU Percentage Utilization, CPU DPC Time Percentage, CPU Percentage Interrupt Time.

Ce Management Pack supporte les systèmes d’exploitation suivants :

• Windows Server 2016.
• Windows Server Nano
• Windows Server 1709
• Windows Server 2019

Il peut être utilisé sur System Center Operations Manager 2016 et 2019.

Télécharger Microsoft System Center Management Pack for Windows Server Operating System 2016 and 1709 Plus

Microsoft vient de publier une mise à jour des outils Surface Hub à destination des ITs pour déployer, gérer et sécuriser les périphériques Surface Hub dans l’entreprise. On retrouve notamment :

• SurfaceHub Recovery v1.14.137.0 vous aide à réimaginer vos disques SSD (Surface Hub Solid State Drives) à l'aide d'un périphérique Windows 10 sans avoir besoin d'appeler le support ou de remplacer le SSD lui-même. Avec cet outil, vous pouvez réimaginer un SSD qui a un mot de passe Administrateur inconnu, des erreurs de démarrage, qui n'a pas pu effectuer une restauration depuis le Cloud, ou pour un périphérique qui a une ancienne version de l'OS. L'outil ne réparera pas les disques SSD physiquement endommagés.
• SurfaceHub Replacement PC Drivers 1.1.003 est disponible pour les entreprises qui ont choisi de désactiver le PC interne du Surface Hub et d'utiliser un ordinateur externe avec leur Surface Hub 84" ou 55".

Télécharger Surface Hub Tools for IT

Microsoft vient de publier une mise à jour des outils Surface à destination des ITs pour déployer, gérer et sécuriser les périphériques Surface dans l’entreprise. On retrouve notamment :

• Cisco EAP Supplicant Installer
• Surface Diagnostics App Console v2.36.139.0
• Surface Asset Tag
• Surface Brightess Control v1.12.139.0
• Surface Data Eraser v3.7.137.0 pour effacer de manière sécurisée les données des Surface.
• Surface Deployment Accelerator v2.24.136.0 permet de facilement déployer une image Windows sur des Surface.
• Surface Diagnostic Toolkit v2.41.139.0 fournit des outils pour tester le matériel.
• Surface Dock Updater v2.23.139.0 permet de mettre à jour le Dock.
• Surface UEFI Configurator v2.43.139.0.
• Surface UEFI Manager v2.43.139.0
• Surface WOL

Télécharger Surface Tools for IT

L’équipe du support Microsoft Intune vient de publier une astuce intéressante permettant de bloquer certains fabricants matériels en utilisant les stratégies d’accès conditionnel. La solution n’est pas parfaite car elle n’empêche pas l’enregistrement du périphérique mais elle peut permettre de bloquer l’accès au service de l’entreprise.

La méthode consiste à

1. Créer un groupe dynamique de périphériques en utilisant l’attribut device.deviceManufacturer
2. Créer et déployer une stratégie de conformité impossible sur ce groupe en spécifiant une version minimale de système d’exploitation abérante par exemple.

Pour en apprendre plus : Blocking certain hardware manufacturers via Intune compliance policies

Microsoft vient d’annoncer la publication d’un nouveau module PowerShell (AIPService) pour le service Azure Information Protection. Il comprend pas moins de 44 cmdlets permettant d’administrer le service. Celui-ci remplace le précédent module AADRM dont le support se terminera au 15 Juillet 2020.

Si vous utilisiez l’ancien module, vous devez le désinstaller avec la cmdlet : Uninstall-Module -Name AADRM

Ensuite installez le nouveau via la commande : Install-Module -Name AIPService

On retrouve aussi le module AzureInformationProctection qui s’adresse à l’administrations des clients Azure Information Protection unified labeling, et Azure Information Protection (classic).

 Source : Support for Powershell cmdlets from the AADRM module will end on July 15, 2020.  

Si vous avez essayé de créer des scripts pour configurer des stratégies de configuration Microsoft Intune pour Windows 10, vous avez pu vous heurter à quelques problèmes pour identifier les Configuration Service Providers (CSP) vis-à-vis de la configuration dans Graph API. Microsoft a publié un article dans la documentation qui permet de faire la correspondance.

Bref cet article est à garder sous le bras lorsque vous voulez faire du scripting : Graph APIs and matching Windows 10 CSPs used in Intune

Microsoft a communiqué un problème connu avec les stratégies de protection applicatives (APP) de Microsoft Intune où les stratégies ne sont pas forcées lorsque les utilisateurs partagent des fichiers Word/Excel/PowerPoint comme pièce jointe d’email. Une récente mise à jour de cette fonctionnalité a eu pour conséquence que l'identité de l'entreprise n'est pas correctement définie pour les fichiers joints aux e-mails. Par conséquent, lorsqu'un utilisateur partage un fichier en pièce jointe avec un autre utilisateur final, les stratégies ne sont pas appliquées aux fichiers comme attendu. Le deuxième utilisateur peut accéder au fichier non géré.

Le problème n'a pas d'impact sur les fichiers partagés sous forme de liens par courrier électronique. Il n'affecte pas non plus les fichiers partagés avec OneDrive ou SharePoint.

Le problème a été résolu avec la publication de la version 2.28.19080905 des applications Word, Excel et PowerPoint pour iOS dans l'App Store.

A partir du 8 septembre, Microsoft va bloquer l’usage de TLS 1.0 et 1.1 avec Microsoft Cloud App Security. Pour préparer ce changement, Vous devez donc :

• Mettre à jour les Agents SIEM qui ont une version inférieure à 0.111.126.
• Mettre à jour les applications personnalisées qui utilisent l’API Cloud App Security afin de supporter TLS 1.2.
• Pour les applications qui utilisent l’accès conditionnel avec App Control, vous devez vérifier qu’elles supportent TLS 1.2
• Mettre à jour les Log Collectors qui ont une version inférieure à 0.111.127.

Plus d’informations sur : https://techcommunity.microsoft.com/t5/Enterprise-Mobility-Security/End-of-support-for-TLS-1-0-and-1-1-in-Microsoft-Cloud-App/ba-p/770507

Microsoft a introduit un ensemble de nouveautés dans Azure Active Directory en juillet 2019.

Microsoft apporte les nouveautés suivantes :

• 18 nouvelles applications fédérées sont ajoutées à la galerie d’applications Azure AD avec notamment : Ungerboeck Software, Bright Pattern Omnichannel Contact Center, Clever Nelly, AcquireIO, Looop, productboard, MS Azure SSO Access for Ethidex Compliance Office, Hype, Abstract, Ascentis, Flipsnack, Wandera, TwineSocial, Kallidus, HyperAnna, PharmID WasteWitness, i2B Connect, JFrog Artifactory
• De nouvelles applications permettent la création, la mise à jour et la suppression d’utilisateurs : Dialpad, Federated Directory, Figma, Leapsome, Peakon, et Smartsheet
• Public Preview d’une nouvelle fédération directe B2B utilisant SAML/WS-Fed. Direct federation vous aide à travailler plus facilement avec des partenaires qui n’utilisent pas Azure AD, en travaillant avec des systèmes d'identité qui supportent les normes SAML ou WS-Fed. Une fois que vous avez établi une relation de fédération directe avec un partenaire, tout nouvel utilisateur invité que vous invitez à partir de ce domaine peut collaborer avec vous en utilisant son compte organisationnel existant, ce qui rend l'expérience utilisateur plus transparente pour vos invités.

• Un nouveau tag pour le service Azure AD Domain Services est disponible pour les groupes de sécurité réseau (NSG). Si vous ne souhaitez pas gérer de longues listes d'adresses IP, vous pouvez utiliser le nouveau tag de service AzureActiveDirectoryDomainServices dans votre groupe de sécurité réseau Azure pour sécuriser le trafic entrant vers votre sous-réseau virtuel Azure AD Domain Services.

• Public Preview des événements d’audit de sécurité pour Azure AD Domain Services. L'audit de sécurité permet d'avoir une vision critique des services d'authentification en diffusant les événements d'audit de sécurité vers des ressources ciblées, notamment Azure Storage, Azure Log Analytics et Azure Event Hub, en utilisant le portail Azure AD Domain Service.
• Nouvelle routine de vérification des noms de groupe dupliqués dans le portail Azure AD lors de la création ou de la mise à jour du groupe. Le portail vous demandera de modifier le nom si celui-ci est déjà utilisé.
• Les applications AD d'Azure peuvent maintenant s'enregistrer et utiliser des URIs de réponse (redirection) avec des paramètres de requête statiques (par exemple, https://contoso.com/oauth2?idp=microsoft) pour les requêtes OAuth 2.0. Le paramètre de requête statique est soumis à une chaîne de caractères correspondant aux URI de réponse, comme toute autre partie de l'URI de réponse. S'il n'y a pas de chaîne de caractères enregistrée qui correspond à l'URL-décodée redirect-uri, la requête est rejetée. Si l'URI de réponse est trouvée, la chaîne entière est utilisée pour rediriger l'utilisateur, y compris le paramètre de requête statique. Les URIs à réponse dynamique sont toujours interdites parce qu'elles représentent un risque pour la sécurité et ne peuvent pas être utilisées pour conserver des informations d'état dans une demande d'authentification. Pour ce faire, vous devez utiliser le paramètre d'état.
• Public Preview d’un rapport Authentication methods usage & insights afin de vous aider à comprendre comment des fonctionnalités comme l'authentification multi-facteurs et la réinitialisation des mots de passe en libre-service sont utilisées dans l’entreprise, y compris le nombre d'utilisateurs enregistrés pour chaque fonctionnalités, la fréquence à laquelle la réinitialisation des mots de passe en libre-service est utilisée pour réinitialiser les mots de passe et la méthode par laquelle elle est effectuée.

• Public Preview de nouveaux rapports de sécurité plus intuitifs. Une nouvelle bannière en haut des rapports de sécurité existants offre les fonctionnalités supplémentaires suivantes :
  • Filtrage et tri avancés
  • Actions en masse, telles que le rejet du risque d'utilisateur
  • Confirmation d’identités compromises ou sûres
  • État de risque : Dismissed, Remediated, et Confirmed compromised
• Microsoft a mis à jour les rapports du journal d'audit et de connexion afin que vous puissiez maintenant appliquer divers filtres sans avoir à les ajouter en colonnes sur les écrans de rapport. Vous pouvez aussi décider combien de filtres vous voulez afficher à l'écran.

• Les journaux d'activités d'Azure AD (rapports d'audit et de connexion) sont maintenant disponibles via le module Azure AD PowerShell. Auparavant, vous pouviez créer vos propres scripts à l'aide de l'API MS Graph, et maintenant Microsoft a éténdu cette capacité aux cmdlets PowerShell.

On retrouve les modifications de service suivantes :

• Mise à jour du service Azure AD Application Proxy pour ne supporter que TLS 1.2. Cette limitation sera initialement étendue aux clients qui utilisent déjà les protocoles TLS 1.2, sans impacte pour les autres. Le retrait complet des protocoles TLS 1.0 et TLS 1.1 sera terminée le 31 août 2019. Les clients qui utilisent toujours TLS 1.0 et TLS 1.1 ont reçu un message pour se préparer à ce changement.
• De nouvelles modifications de l'interface utilisateur sont apportées à la partie Add from the gallery depuis la tuile Add an application. Ces changements aideront à trouver plus facilement les applications qui prennent en charge le provisionnement automatique, OpenID Connect, Security Assertion Markup Language (SAML), et Password single sign-on (SSO).
• Le 26 juillet 2019, Microsoft a modifié la façon dont il fournit des jetons d'application seulement (App-only tokens) à travers l’autorisation des identifiants clients. Auparavant, les applications pouvaient récupérer les jetons en appelant d'autres applications, sans vérifier que l’application soit sur le tenant. Microsoft a mis à jour ce comportement pour que seules les ressources du tenant, ne puissent être appelées que par les applications client qui existent dans les ressources du tenant.

L’actualité concernant la partie Modern Workplace est très riche ! Il est parfois difficile de tout s’approprié. Cet article résume les différentes annonces :

Général

• Le centre de messages prend maintenant en charge la communication des messages relatifs à la confidentialité ou à la sécurité du service Microsoft 365 à un groupe restreint de destinataires. Une fois mis en œuvre, seuls l'administrateur global et le rôle Privacy Reader auront accès à ces messages.
• Microsoft Teams atteint 13 millions d’utilisateurs journalier actifs

• Public Preview de Desktop Analytics. Après de longs mois, Microsoft vient de donner la préversion de Desktop Analytics, le nouveau service dans le cloud remplaçant de Windows Analytics. Il va fournir des éléments d’analyse et d’automatisation afin d’être et rester à jour pour Windows 10 et Office 365. Ce service est proposé aux clients qui ont souscrit à Windows 10 E3 ou Microsoft 365 E3. A l’avenir ce service va être enrichi avec des éléments relatifs aux performances de la machine, etc.

Windows 10

• Passage en disponibilité générale de Windows 10 1903.

Enterprise Mobility + Security

Azure Active Directory

• Les nouveautés d’Azure Active Directory en juillet 2019

Microsoft Intune

• Voici les nouveautés de mi-juillet 2019
• Voici les nouveautés de fin juillet 2019

Office 365 et Office

• Office 365 est maintenant disponible sur la région South Africav
• Retrait de TLS 1.0 et 1.1 prévu pour le 1^er juin 2020 au niveau mondial.
• Changement dans le comportement de l’activation du client Office 365 ProPlus et Business pour améliorer les scénarios où le seuil du nombre de périphériques a été atteintv.
• Microsoft ajoute technologie intelligente supplémentaire à l'expérience de recherche dans Outlook pour iOS en introduisant une nouvelle fonctionnalité Discover, basée sur Microsoft Graph. Discover fournit un flux des fichiers Office de l’entreprise reliés aux personnes de votre organisation.
• Intégration des paramètres de contrôle sur la vie privée liés aux expériences connectées au Cloud pour Office pour Mac.
• Concernant Outlook on the web, on retrouve les nouveautés suivantes :
  • À compter du 22 juillet 2019, le nouvel Outlook on the Web est devenu l'expérience par défaut pour le courrier, le calendrier et les Personnes. Avec ce changement, les utilisateurs ne pourront plus revenir en arrière ou voir l'expérience classique. Le changement sera déployé après le 5 août pour les clients des versions non ciblées, le déploiement sera terminé pour tous les clients avant la fin septembre 2019.
  • Outlook on the Web met à jour la façon dont vous partagez des documents dans le Cloud à partir de OneDrive et Sharepoint. Maintenant, lorsque vous collez un lien pour un fichier OneDrive ou Sharepoint dans un message, il le remplacera par le nom du fichier et l'icône correspondante de l'application Office. Ce lien vous permettra également de gérer les permissions pour le fichier en utilisant un nouveau dialogue de partage.
  • Disponibilité de S/MIME sur Outlook on the web en allant dans Settings - Mail - S/MIME.
  • La gestion des sessions d'authentification vous permet de contrôler la fréquence à laquelle vos utilisateurs doivent entrer leurs informations d'identification. Par défaut, la durée de vie de la session est configurée sur une fenêtre de 90 jours. Avec cette mise à jour, vous pourrez configurer le timing des sessions authentifiées pour vos utilisateurs.
  • Outlook on the web permet maintenant d’inclure des sondages directement dans l’email afin que le destinataire puisse y répondre.
  • Il devient aussi plus facile de réserver une salle de réunion depuis Outlook on the web.
• Private Preview des stratégies d’expiration basées sur l’activité des utilisateurs pour les groupes Office 365. Ceci permet de s’assurer que tout groupe activement utilisé continue d'être disponible, contournant ainsi l'expiration. Cette fonctionnalité facilite la vie des utilisateurs, y compris les administrateurs, les propriétaires de groupes et les membres, en automatisant le processus d'expiration et de renouvellement par le suivi des groupes pour l'activité des utilisateurs sur différentes applications, comme Teams, SharePoint, Outlook, liés au groupe.

Communications unifiées

• Annonce du retrait de Skype for Business Online pour le 31 juillet 2021. Ni Skype (consommateur) ni Skype for Business On-premises ne seront affectés par le retrait du service Skype for Business Online. Les clients Skype for Business Online actuels subiront aucun changement dans le service jusqu'à la date de retrait. Pour s'aligner sur ce calendrier, la prise en charge de l'intégration des fournisseurs tiers d'audioconférence (ACP) dans Skype for Business Online a été prolongée jusqu'au 31 juillet 2021, avec un soutien limité pour les tenants actifs restants afin de leur laisser plus de temps pour la transition.

Collaboration

• Concernant SharePoint et OneDrive, on retrouve les éléments suivants :
  • Les auteurs SharePoint pourront télécharger des images dans le Canvas par glisser-déposer. SharePoint ajoutera automatiquement le visualiseur de fichiers et téléchargera le fichier dans la bibliothèque de documents.
  • Microsoft a ajouté un riche aperçu des liens collés dans l'éditeur de texte pour intégrer les vidéos des liens Stream et YouTube ou les images avec le titre et la description des autres liens.
  • SharePoint prend en charge les liens d'ancrage, qui permettent aux lecteurs de sauter à une partie spécifique de la page.
  • Les auteurs SharePoint auront la possibilité d'annuler les modifications avant l'enregistrement ou la publication.
  • Les pages modernes peuvent maintenant avoir des sections verticales.
  • Les recommandations SharePoint vous aident à découvrir de nouvelles pages SharePoint et de nouveaux messages d'actualité dans l’entreprise. Au bas des articles et des pages de de post de news SharePoint, vous commencerez à voir les recommandations SharePoint qui s'appliquent le mieux à vous. Les Recommandations SharePoint sont basées sur un modèle d'apprentissage automatique et prennent en compte le nombre de vues que les autres messages d'actualité et les pages SharePoint ont, votre relation avec les utilisateurs, etc.
  • Améliorations de l’édition rapide pour les listes et librairies de documents afin de permettre aux utilisateurs de modifier facilement leurs métadonnées en activant de nouvelles fonctions dans le mode de modification rapide, telles que le filtrage du contenu, le glisser-déposer des largeurs de colonnes, l'affichage de toutes les vues et le formatage des colonnes, ainsi qu'un meilleur support des types de champs utilisateur/choix.
  • Preview de l’intégration de OneDrive & SharePoint avec Azure AD B2B pour inclure le partage externe de fichiers, dossiers, liste d’objets, librairies de document et sites. Les utilisateurs externes sont automatiquement créés comme utilisateurs invités.
  • Les utilisateurs peuvent visionner des photos à 360 degrés de façon interactive et panoramique, directement dans Sharepoint et OneDrive for Business, lorsqu'ils cliqueront sur la photo pour l'afficher en détail. Toutes les photos à 360° téléchargées après la mise en ligne de cette fonction (essentiellement celles marquées d'une projection de type "Equirectangular") seront détectées comme telles. Autrement, les utilisateurs peuvent marquer manuellement leurs photos à 360 degrés pour terminer par ".360.jpg" ou ".360.jpeg" pour forcer l'activation de la visionneuse à 360 degrés, pour ces photos particulières.

• • Les utilisateurs peuvent sélectionner plusieurs articles dans SharePoint et les approuver ou les rejeter en masse.
  • Les sites de communication SharePoint auront un contrôle de pied de page prêt à l'emploi, qui peut être contrôlé à l'aide d'éléments d'interface utilisateur ou d'API.
  • Amélioration de l’éditions de page et de news dans SharePoint Online:
  • Mise à jour de l’expérience de OneDrive Mobile avec Fluent pour inclure les fichiers PDFs et scan dans la vue récente, une nouvelle expérience de sélection de fichiers, une expérience mise à jour de l’annotation des PDFs, une expérience revue des paramétrages, etc.
• Concernant Microsoft Teams, on retrouve les annonces suivantes :
  • Microsoft Teams arrive sur les installations existantes d’Office 365 ProPlus et Office 365 Business/Business Premium.
  • Il est possible de définir une priorité sur les messages critiques afin d’être sûr que le message est bien adressé.
  • Les administrateurs Microsoft Teams pourront visualiser l'aperçu des activités des événements en direct organisés dans l’entreprise via un rapport d’usage.
  • Preview des Sous-titres et traductions dans les événements en direct de Teams
  • Disponibilité régionale des événéments en direct (live events) sur US Government Communicy Cloud, India, Japan et Australia.
  • Les administrateurs peuvent retrouver Network Planner pour calculer les prérequis réseaux pour le déploiement de Teams.
  • Microsoft Teams supporte l’inscription en libre-service. Les utilisateurs de tenant hybrides qui ne sont pas dans Azure Active Directory pourront bientôt s'inscrire à Teams en utilisant leur adresse d’entreprise, ce qui créera une identité AAD et leur permettra d'utiliser Teams.
  • L'utilisateur a la possibilité d'envoyer ses commentaires à Microsoft. La nouvelle fonctionnalité est disponible sous Help > "Give feedback"
  • L’application Wakelet est maintenant disponible dans Teams pour permettre, d’organiser, partager du contenu pour l’éducation.
  • Les utilisateurs peuvent voir une liste d'auto-suggestion de personnes qu’ils peuvent mentionner lorsqu'ils tapent (@) le nom d'autres personnes.

• • Microsoft Teams propose aux propriétaires de Teams d’activer la modération pour un canal afin de contrôler qui peut commencer de nouveaux messages et répondre aux messages dans ce canal. Les propriétaires d'équipe peuvent également ajouter des membres de l'équipe comme modérateurs. Ces modérateurs de canal peuvent également contrôler les paramètres et donner des capacités de modérateur aux autres membres du canal.

• • Pour les utilisateurs Windows de Teams, vous pourrez désormais partager l'audio à partir de n'importe quel contenu que vous partagez pendant une session de partage d'écran ou d'application. Si vous souhaitez partager du contenu audio, les participants de votre réunion pourront désormais voir et entendre le contenu et l'audio partagés.
  • Une nouvelle fonctionnalité permet aux administrateurs des Teams d'assigner facilement un groupe de stratégies qui sont packagées en fonction du rôle des utilisateurs.
  • Mise à jour (4.0.105.0) de l’application Microsoft Teams Room pour inclure :
    • Mise à jour du thème : la console des périphériques Microsoft Teams Room est mise à jour avec l'apparence Microsoft Teams et les thèmes ne s'appliquent qu'aux affichages avant de la salle mais pas sur la console de la salle de réunion. Cela améliore grandement la lisibilité des commandes de la console et permet de s'assurer que les exigences en matière de contraste des couleurs pour l'accessibilité sont respectées. Microsoft sait que l'image de marque de l'entreprise sur la console est importante et va permettre d'ajouter le logo de l'entreprise sur la console dans les prochaines versions.
    • Les contrôles d’appels ont été mis à jour avec une barre universelle similaire aux clients PC et Mobile.
    • Microsoft intègre les fonctions permettant d’évaluer la qualité de l’appel de la même manière que sur les clients PC et mobile.
    • Support de Microsoft Whiteboard.
  • Microsoft Teams propose maintenant la résidence des données sur la région South Africa.

• Arrêt de StaffHub au profit de Microsoft Teams. Car ce dernier inclut les fonctionnalités qui simplifient la gestion des horaires pour notamment les employés de première ligne.
• Dans Stream, Les propriétaires et les administrateurs pourront remplacer les vidéos téléchargées ou les événements en direct par un nouveau fichier vidéo qui contiendra les URLs, les liens, le titre, la description, le nombre de vues et les préférences.
• Concernant Yammer, on retrouve l’arrivée du mode Question/Réponses pour mettre en évidence des questions et les réponses associés sur des réseaux.
• Pour Forms, on retrouve les nouveautés suivantes :
  • Forms supporte maintenant le transfert de l’appartenance pour des employés qui ont quitté l’entreprise.
  • La détection automatique s'effectue au moment de la conception des formulaires et si un contenu suspect d'hameçonnage (par exemple quel est votre mot de passe ?) est détecté, le formulaire sera automatiquement bloqué pour le partage et la collecte des réponses. Il ne s'agirait pas d'un blocage permanent, car le formulaire peut être débloqué si le concepteur du formulaire supprime la question suspecte. Cette nouvelle fonctionnalité s'appliquera à tous les formulaires publics.

Sécurité

• Disponibilité Générale de Threat & Vulnerability Management, une fonctionnalité intégrée de Microsoft Defender Advanced Threat Protection (Microsoft Defender ATP) qui utilise une approche basée sur les risques pour découvrir, hiérarchiser et corriger les vulnérabilités et les erreurs de configuration des périphériques. Les clients bénéficient de :
  • La découverte continue des vulnérabilités et des erreurs de configuration
  • L’Établissement des priorités en fonction du contexte opérationnel et du paysage dynamique des menaces
  • La corrélation des vulnérabilités avec les alertes de détection et de réponse des périphériques (EDR) pour mettre en évidence les brèches.
  • Le contexte de vulnérabilité au niveau de la machine pendant les enquêtes sur les incidents
  • Le processus de remédiation intégrés grâce à une intégration unique avec Microsoft Intune et Microsoft System Center Configuration Manager
• Office 365 ATP permet aux utilisateurs via le plugin Report Message de reporter des emails suspicieux à l’équipe sécurité et à Microsoft. Les équipes de sécurité des entreprises peuvent examiner ces messages rapportés par les utilisateurs dans le Centre de sécurité et de conformité Office 365 pour mieux comprendre les attaques que les utilisateurs voient et mettre à jour leurs politiques de sécurité.
• Nouvelle expérience d’investigation des menaces sur les identités dans Cloud App Securityv
• Microsoft a amélioré la gestion des rôles d'administrateur dans le centre d'administration de Microsoft 365. Il sera plus facile de voir qui a accès en tant qu'administrateur et d'assigner les rôles qui accordent le bon niveau d'accès à vos administrateurs.

Je ne crois pas connaître beaucoup d’entreprises qui utilisent encore System Center Configuration Manager 2007 et Forefront Endpoint Protection 2010 mais il est toujours bon de faire une piqure de rappel. Ces deux produits ne sont plus supportés depuis le 9 juillet 2019 ! il n'y a plus de nouvelles mises à jour de sécurité, de mises à jour non relatives à la sécurité, d'options de support (gratuit ou payant) ou de mises à jour de contenu technique en ligne. Microsoft a arrêté les mises à jour des définitions, du moteur et de la plate-forme pour FEP 2010.

Source : https://techcommunity.microsoft.com/t5/Configuration-Manager-Blog/End-of-support-for-Configuration-Manager-2007-and-FEP-2010-on/ba-p/432771

Microsoft a publié une série de vidéos visant à décrire les étapes sous forme de pas à pas pour préparer, déployer et optimiser un environnement Windows Virtual Desktop. Pour rappel, Windows Virtual Destkop est un service de VDI/Bureau à distance hébergé dans Microsoft Azure. Il permet d’héberger des machines virtuelles Windows 10 Enterprise ou Windows 7 SP1 Enterprise (avec support étendu) afin notamment d’exécuter des applications soit pour des problèmes de compatibilité soit pour donner accès à des ressources à distance. Les entreprises qui ont acheté Windows 10 Enterprise peuvent toutes bénéficier de ce service sans surcout de licences. Le seul coût est au niveau du calcul, du stockage et de la bande passante généré par ces machines virtuelles.

Step 1: Prepare prerequisites and your Windows Virtual Desktop tenant

Step 2: Deploy your Windows Virtual Desktop host pool and app groups

Step 3: Optimize Windows Virtual Desktop profiles, storage, and scaling

Microsoft vient de publier la Community Technology Preview 3.2 de SQL Server 2019. Cette version s’intègre à Apache Spark et HDFS dans une plateforme unifiée.

La CTP 3.2 ajoute les éléments suivants :

• Big data Clusters :
  • CTP 3.2 introduit azdata - un utilitaire en ligne de commande écrit en Python qui permet aux administrateurs de cluster de démarrer et de gérer le cluster de données via les API REST. azdata remplace mssqlctl.
  • Les noms de colonnes de tables externes sont maintenant utilisés pour interroger les sources de données SQL Server, Oracle, Teradata, MongoDB et ODBC. Dans les versions précédentes de CTP, les colonnes étaient liées uniquement sur la base de l'ordinal de la destination et les noms de colonnes dans la définition de table externe n'étaient pas utilisés.
  • Introduction d'une fonctionnalité de rafraîchissement pour l'étagement HDFS afin qu'une monture existante puisse être rafraîchie pour obtenir le dernier instantané des données à distance.
  • Introduction des notebooks Jupyter pour faciliter le déploiement et la découverte, le diagnostic et le dépannage des composants d'un SQL Server big data cluster.
• Language Extensions :
  • SQL Server inclut maintenant le support Zulu Embedded de Java d'Azul System pour l'ensemble du produit.
• SQL Server Analysis Services (SSAS)
  • Le service Power BI met en cache les données des tuiles du tableau de bord et les données des rapports pour le chargement initial du rapport Live Connect, ce qui entraîne un nombre excessif de requêtes de cache soumises au SSAS et, dans les cas extrêmes, surcharge le serveur. Cette version présente la propriété ClientCacheRefreshPolicy. Cette propriété vous permet de remplacer ce comportement au niveau du serveur.
  • Cette fonction permet d'attacher un modèle tabulaire comme une opération en ligne. Les rattachements onlines peuvent être utilisées pour la synchronisation des répliquas en lecture seule dans les environnements On-premises de mise à l'échelle des requêtes.
• SQL Server sur Linux
  • Change Data Capture (CDC) est maintenant supporté sous SQL Server 2019 pour Linux.

Plus d’informations sur : https://cloudblogs.microsoft.com/sqlserver/2019/07/24/sql-server-2019-community-technology-preview-3-2-is-now-available   

Télécharger SQL Server 2019 Community Technology Preview

Microsoft a publié un correctif à destination des entreprises ayant déployés System Center Configuration Manager 1906 en mode Early Update Ring. Ce correctif corrige le problème qui touche les rôles de sécurité personnalisés perdant leurs permissions sur les dossiers.
Cette mise à jour ne s'applique qu’aux entreprises ayant déployées la version Early Update Ring de Configuration Manager 1906. Elle ne s'applique pas aux environnements mis à jour avec Configuration Manager 1906 Slow Ring (disponible globalement sans l’exécution du script).

Cette mise à jour peut ne pas être applicable et ne pas être listée dans la console si l'environnement n'a pas de rôles de sécurité personnalisés.

Plus d’information sur la KB4515740 Custom security roles lose folder permissions after an update to Configuration Manager current branch, version 1906