Microsoft vient de mettre à disposition la Technical Preview 1908 (5.0.8860.1000) de System Center Configuration Manager. Pour rappel, ConfigMgr a subi une refonte de sa structure pour permettre des mises à jour aisées de la même façon que l’on peut le voir avec Windows 10. Si vous souhaitez installer cette Technical Preview, vous devez installer la Technical Preview 1804 puis utiliser la fonctionnalité Updates and Servicing (nom de code Easy Setup).

System Center Configuration Manager TP 1908 comprend les nouveautés suivantes :

Administration

• Dans le nœud Console Connections de la console d’administration, la colonne Last Console Heartbeat a remplacé Last Console Time. La colonne Last Console Heartbeat donne aux administrateurs plus d'informations pour déterminer quelles connexions de console sont actuellement actives. Lorsqu'une console ConfigMgr est ouverte, une vérification est effectuée toutes les 10 minutes. Si la console s'exécute au premier plan pendant la vérification, la colonne Last Console Heartbeat est mise à jour.

 Inventaires

• Lorsque vous utilisez CMPivot en dehors de la console Configuration Manager, vous pouvez interroger uniquement le périphérique local sans avoir besoin de l'infrastructure Configuration Manager. Vous pouvez maintenant utiliser les requêtes CMPivot Azure Log Analytics pour visualiser rapidement les informations WMI sur le périphérique local. Cela permet également de valider et d'affiner les requêtes CMPivot, avant de les exécuter dans un environnement plus large.

Gestion des mises à jour logicielles

• De la même manière qu'il est possible de créer des modèles de déploiement, il est maintenant possible de créer et d'utiliser des modèles de déploiement par phases (Phased Deployment) pour les mises à jour logicielles. Les modèles font gagner du temps lors de la configuration d'autres déploiements par phases avec des paramètres similaires.

• Selon des retours sur UserVoice, Microsoft a inclus un filtre supplémentaire aux règles de déploiement automatique (ADR) pour exclure les mises à jour déjà déployées.  Ce filtre aide à identifier les nouvelles mises à jour qui pourraient devoir être déployées dans vos collections pilote. Le filtre de mise à jour du logiciel peut également aider à éviter de redéployer les anciennes mises à jour. Lorsque vous utilisez Deployed comme filtre, n'oubliez pas que vous avez peut-être déjà déployé la mise à jour dans une autre collection, comme une collection pilote.

• Auparavant, Delivery Optimization ne pouvait être utilisée que pour les mises à jour express. Vous pouvez maintenant utiliser Delivery Optimization pour la distribution de tout le contenu Windows Update pour les clients exécutant Windows 10 version 1709 ou ultérieure. Vous devez configurer les paramètres suivants dans la partie Client Settings :
  • Allow clients to download delta content when available à Yes
  • Port that clients use to receive requests for delta content à 8005 (par défaut) ou un port personnalisé
• La fonctionnalité de gestion des mises à jour tierces inclut maintenant une capacité de régler la planification de synchronisation pour surcharger celle configurée par défaut.

Déploiement de système d’exploitation

• Selon des retours sur UserVoice, il est maintenant possible d’exécuter la séquence de tâches dans un mode de gestion d’énergie Haute Performance. Ceci permet d’accélérer l’exécution de la séquence de tâches et les performances. Ainsi, la séquence de tâches enregistre le plan d’énergie au début de la séquence de tâches puis change le plan dans le mode Haute Performance de Windows. A la fin de la séquence de tâches, le plan d’énergie est remis selon la valeur présente au début de la séquence de tâches.
  Note : Vous devez installer la dernière version du client et mettre à jour les images de démarrage avec les derniers binaires du client pour bénéficier de cette fonctionnalité.

• Il est maintenant possible de copier/coller des conditions de séquence de tâches afin de réutiliser la même condition sur une autre étape de la séquence de tâches. Si une condition a des conditions enfants, l’action de copie, copie le bloc entier. S'il y a une condition dans le presse-papiers, vous pouvez la coller avec les options suivantes :
  • Coller avant
  • Coller après
  • Coller sous (ne s'applique qu'aux conditions imbriquées)

Note : La copie n’est pas supportée entre différentes séquences de tâches !

• Amélioration de l’outil de recherche dans l’éditeur de séquence de tâches pour inclure :
  • La liste des options de recherche s'appelle maintenant Scope. Utilisez-le pour sélectionner les zones de l'éditeur de séquence de tâches à rechercher. Vous pouvez maintenant utiliser les flèches Alt + Bas pour ouvrir cette liste.
  • Au lieu d'effectuer une recherche par groupe, vous pouvez maintenant effectuer une recherche par nom de groupe ou par description de groupe.

• Lors de l'import d'un package de mise à niveau d'OS, vous pouvez Extraire un index d'image spécifique du fichier install.wim du package de mise à niveau sélectionné. Ce comportement est similaire à celui des images du système d'exploitation, sauf qu'il écrase le fichier install.wim existant dans le package de mise à niveau du système d'exploitation. Il extrait l'index de l'image vers un emplacement temporaire, puis le déplace dans le répertoire source original. Avant d'importer un package de mise à niveau du système d'exploitation et d'activer cette option, assurez-vous de sauvegarder les fichiers sources originaux. Configuration Manager écrase le fichier install.wim dans le source pour utiliser l'index de l'image extraite.

• Basé sur des feedbacks UserVoice, il est maintenant possible de configurer la langue par défaut du clavier pour une image de démarrage. Dans l'onglet Customization d'une image de démarrage, utilisez la nouvelle option pour Set default keyboard layout in WinPE. Dans la console, si vous sélectionnez une autre langue qu’en-us, Configuration Manager inclut toujours en-us dans les locales d'entrée disponibles. Sur l'appareil, la disposition initiale du clavier est la locale sélectionnée, mais l'utilisateur peut changer sur en-us si nécessaire.

• Basé sur des feedbacks UserVoice, l'étape Run Command Line inclut maintenant une option pour mettre le résultat de sortie dans variable de séquence de tâche. Configuration Manager limite le résultat aux 1000 derniers caractères. Cette modification s'applique à la fois à Run Command Line et Run Powershell Script.

• Basé sur des feedbacks UserVoice, utilisez les cmdlets PowerShell suivants pour automatiser la gestion des doublons d’identifiants matériels :
  • New-CMDuplicateHardwareIdGuid
  • Remove-CMDuplicateHardwareIdGuid
  • New-CMDuplicateHardwareIdMacAddress
  • Remove-CMDuplicateHardwareIdMacAddress

Plus d’informations sur : https://docs.microsoft.com/en-us/sccm/core/get-started/2019/technical-preview-1908

Aujourd’hui, je vous partage une erreur que vous pourriez rencontrer sur le scénario Windows Autopilot White Glove. Pour rappel, ce scénario permet à l’entreprise de faire préparer la machine par l’OEM, un intégrateur ou un prestataire de service. Ce dernier lance le processus afin d’appliquer les configurations machines (Applications, Stratégies, etc.). La machine s’éteint ensuite et peut être envoyée à l’utilisateur. L’utilisateur démarre la machine et finit la phase de provisionnement en appliquant les éléments qui lui sont ciblés directement (Applications spécifiques, paramétrages spécifiques, etc.).

Le problème survient avec Windows 10 1903. Lorsque vous pressez 5 fois la touche Windows et que vous sélectionnez Windows Autopilot provisioning, il vérifie les mises à jour. C’est à ce moment que le processus renvoie l’erreur :

"Something went wrong" with the error "AUTOPILOTWHITEGLOVEUPDATE"

Microsoft a publié un correctif le 25 juillet qui corrige ce problème. Vous devez injecter la KB4505903 à l’image WIM avant d’installer le système qui sera utilisé pour Windows Autopilot White Glove.

Office 365 ProPlus va prochainement (d’ici la fin de l’année) intégrer nativement la fonction de classification proposée par Azure Information Protection. Ceci permettra aux entreprises de bénéficier d’Azure Information Protection sans avoir à déployer le composant additionnel (add-in).

Si vous souhaitez utiliser Azure Information Protection, deux options s’offrent à vous :

• Utiliser la fonction Native Labeling d’office ProPlus : Office télécharge les étiquettes/label et les paramètres de stratégie de l'Office 365 Security & Compliance Center. Ce mode ne prend en charge que la classification manuelle (pas de classification automatique pour l’instant) et contient un ensemble limité de fonctionnalités de classification.
• Continuer à utiliser les composants additionnels d'Azure Information Protection, y compris la classification manuelle, la classification automatique et un ensemble enrichi de capacités de classficiation et de conditions complexes.

Note : Pour voir les différences de fonctionnalités à date, vous pouvez lire cet article : https://docs.microsoft.com/en-us/azure/information-protection/rms-client/use-client?branch=pr-en-us-2819#feature-comparisons-for-the-clients

Le comportement par défaut pour les utilisateurs d’Office 365 ProPlus sera d’utiliser la fonction Native Labeling.

Vous pouvez néanmoins gérer ce comportement et basculer sur l’usage des composants additionnels d'Azure Information Protection via une GPO.

• Clé : HKEY_CURRENTUSER\Software\Microsoft\Office\16.0\Common\Security\Labels
• Valeur :
  • Type : REG_DWORD
  • Nom : UseOfficeForLabelling
  • Valeur (pour désactiver) : 0

L’équipe Azure Information Protection a publié un très bon billet pour expliquer les enjeux de la migration vers le modèle de classification unifiée (Unified Labeling). L’article rappelle notamment que cette migration ne comprend aucun risque. Il rappelle aussi quels sont les deux portails permettant de gérer les classifications/étiquettes et les produits associés :

• L’espace Azure Information Protection dans le portail Azure supporté par :
  • Le client Azure Information Protection (classic)
  • L’Azure Information Protection scanner
  • Microsoft Cloud App Security
• La console de classification unifiée (Unified labeling) dans Office 365 Security & Compliance Center supportée par :
  • Le client Azure Information Protection unified labeling
  • Microsoft Cloud App Security
  • Office apps pour MacOS
  • Office apps pour Android
  • Office apps pour iOS
  • Microsoft Information Protection SDK et les applications qui en sont basées (Par exemple: Adobe Acrobat)
  • Prochainement:
    • SharePoint Online
    • Office for the web
    • La classification intégrée à Office pour Windows (pas de composant additionnel nécessaire)
    • Outlook web app
    • Outlook Mobile (iOS et Android)
    • L’Azure Information Protection scanner

L’article rappelle et détaille aussi les grandes phases de cette migration :

• Phase 1 : La planification
• Phase 2 : La migration du service
• Phase 3 : Le déploiement du client

Plus d’informations sur le processus global en lisant : Understanding Unified Labeling migration

Microsoft a publié une nouvelle version (2.2.19.0) du client Unified Labeling d’Azure Information Protection. Cette version apporte les éléments suivants :

• Le client peut télécharger avec succès sa stratégie et afficher les étiquettes de sensibilité. Ce correctif est nécessaire après la mise à niveau d'une version précédente et si vous n'avez configuré aucun type d'information personnalisée dans le labeling center.
• Améliorations générales des performances et de la stabilité.

Le client Unified Labeling couvre pour l’instant les fonctionnalités standards et la classification automatique. Les fonctionnalités avancées sont attendues prochainement. Pour rappel, Azure Information Protection permet de classifier et labéliser la donnée au moment de la création en fonction de différentes catégories. L’administrateur peut ensuite appliquer des stratégies de protection embarquée dans la donnée en fonction de la classification appliquée. Ce service est issu du rachat de Secure Islands et vient englober Azure Rights Management (RMS).

Vous trouverez la comparaison des fonctionnalités entre le client et le client Unified Labeling.

Plus d’informations sur la version du client AIP Unified Labeling

Télécharger Azure Information Protection unified labeling client

Azure Information Protection est un outil formidable pour classifier et protéger la donnée. Il peut être un bon moyen de se mettre en conformité vis-à-vis d’une partie des règles de la GDPR. Azure Information Protection couplé à Exchange Online (Office 365) peut automatiquement chiffrer les emails sensibles sans que l’utilisateur ait besoin de réaliser une action. Il faut pour cela utiliser les règles de chiffrement basé sur les classifications des types de données.

Voici la procédure à suivre :

1. Connectez vous à Exchange Online.

$UserCredential = Get-Credential

$Session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://outlook.office365.com/powershell-liveid/ -Credential $UserCredential -Authentication Basic -AllowRedirection

Import-PSSession $Session

2. Configurez le mode de chiffrement S/MIME

Set-IRMConfiguration -DecryptAttachmentForEncryptOnly $true

3. Créez une règle de flux d’email Exchange Online qui initie la stratégie de protection contre la perte de données (DLP) :

New-TransportRule -Name "Default Office 365 OME policy - Encrypt external sensitive mails"

-SentToScope NotInOrganization

-ApplyRightsProtectionTemplate "Encrypt"

-MessageContainsDataClassifications @(@{Name="France Driver's License Number"; minCount="1"},@{Name="Credit Card Number"; minCount="1"},@{Name="France National ID Card (CNI)"; minCount="1"},@{Name="France Passport Number"; minCount="1"},@{Name="France Social Security Number (INSEE)"; minCount="1"})

Note : Vous devez spécifier dans la partie en gras :

• Le nom de la règle
• Les classifications de données à appliquer à cette règle. L’exemple ci-dessus ne comprend que les types de données relatifs à de la donnée française.

Je vous recommande bien entendu de valider ceci sur un environnement de test ou préproduction.

Microsoft a annoncé un problème touchant Microsoft Intune concernant les stratégies de déploiement du client Office 365 ProPlus. Les entreprises sont concernées si elles déploient Office Pro Plus et Visio/Project sur des utilisateurs en utilisant Microsoft Intune. Si un utilisateur est ciblé par plus d'une stratégie Office Pro Plus, une seule d'entre elles sera délivrée au périphérique d'un utilisateur final. L’exemple le plus concret est le suivant :

• Vous ciblez Office Pro Plus sur un groupe d'utilisateurs en tant qu'installation obligatoire sur le périphérique.
• Maintenant, vous voulez rendre Visio et/ou Project disponible à un sous-ensemble de ces utilisateurs en tant qu'installation optionnelle.

L'installation ne peut se faire que dans l'une de ces suites ; dans ce cas, seule l'installation requise est exécutée. Les stratégies sont en conflit et renvoient des erreurs. Les administrateurs et les utilisateurs peuvent voir le code d'erreur 0x87D1041E dans leurs portails respectifs.

Si vous êtes concerné par ce problème, à court terme, vous pouvez regrouper Office Pro Plus et Visio/Project selon vos besoins dans une seule stratégie, ce qui vous permettra de vous assurer que Visio et Project sont disponibles pour vos utilisateurs. Vous pouvez également créer une stratégie pour rendre Office Pro Plus avec Visio/Project disponible. Cependant, toutes les applications Office devront être fermées pour que l’utilisateur puisse télécharger Visio ou Project à partir du portail d'entreprise.

Microsoft travaille à corriger ce problème.

Plus d’informations sur : https://aka.ms/intune_visio_project

Microsoft vient d’annoncer la mise à disposition d’un nouvel ensemble de fonctionnalités pour Microsoft Intune.

Les fonctionnalités suivantes sont ajoutées :

Enregistrement des périphériques

• [Général] Les interfaces utilisateurs d’enregistrement de périphériques Apple ou de création de restriction ont maintenant une interface utilisateur sous forme d’assistant.

• [Android Enterprise] Gestion de la pré configuration des identifiants d’entreprise pour Android 10 (Android Q). Dans Android 10, Google supprimera la possibilité pour les agents MDM sur les périphériques Android gérés de manière héritée/Legacy (Device administrator) de collecter les informations d'identification des périphériques. Intune dispose d'une fonctionnalité qui permet aux administrateurs informatiques de préconfigurer une liste de numéros de série de périphériques ou IMEI afin de marquer automatiquement ces périphériques comme appartenant à l'entreprise. Que le numéro de série ou l'IMEI de l'appareil soit téléchargé ou non, il sera toujours considéré comme personnel lors de l’enregistrement à Intune. Vous pouvez transférer manuellement l’appartenance du périphérique à l’entreprise après l’enregistrement. Ceci n'affecte que les nouvelles inscriptions et n'affecte pas les périphériques enregistrés existants. Les appareils Android gérés avec Work Profile ne sont pas affectés par ce changement et continueront à fonctionner comme ils le font aujourd'hui. De plus, les périphériques Android Q enregistrés en mode hérité (Device Administrator) ne pourront plus rapporter le numéro de série ou l'IMEI dans la console Intune en tant que propriétés du périphérique.

• [Android Enterprise]. Les restrictions d'inscription pour les nouveaux tenant ont été mises à jour afin qu’Android Enterprise Work Profiles soient autorisés par défaut. Les tenant actuels ne subiront aucun changement.

• [Android Enterprise] Changement des icônes utilisées pour l’enregistrement Android Enterprise dans Intune > Enrollment > Android enrollment > Enrollment profile.

• [Windows 10] La valeur par défaut pour la collecte des données de diagnostic (télémétrie) a changé pour les périphériques Windows 10 1903 ou plus. A partir de Windows 10 1903, la collecte des données de diagnostic est activée par défaut. Les périphériques issus de Windows Autopilot sont également configurés avec la télémétrie complète (Full), sauf configuration contraire dans le profil Autopilot avec System/AllowTelemetry.

Gestion du périphérique

• [Android/iOS] L’administrateur peut maintenant envoyer des notifications poussées (Push Notifications) visibles par l’utilisateur dans le portail d’entreprise aux utilisateurs iOS et Android. Ces notifications sont hautement personnalisables avec du texte libre et peuvent être utilisées pour vos besoins internes. Vous pouvez les cibler sur différents groupes d'utilisateurs dans l’entreprise.

• [iOS] Vous pouvez effectuer un zoom sur les coordonnées exactes d'un appareil à l'aide de l'action Localiser l'appareil (Locate Device).

Configuration du périphérique

• [Windows 10] Vous pouvez utiliser des règles d’applicabilité lors de la création de profils de configuration Windows 10. Ces derniers permettent d’appliquer des profils uniquement à des éditions ou des versions spécifiques de Windows 10 (par exemple en créant un profil pour désactiver le store qui ne s’applique qu’aux périphériques Windows 10 Enterprise). Ces paramètres sont disponibles lors de la création ou l’édition en naviguant dans Device configuration > Profiles > Create profile > Windows 10 comme plateforme > Applicability rules.

• [Windows 10] Mise à jour de l’interface de configuration de Windows Hello. Tous les paramètres de configuration sont maintenant disponibles dans le même volet de la console où vous activez Windows Hello.

• [Windows 10] Public Preview de la configuration avancée du pare-feu Windows (Windows Defender Firewall). Intune permet maintenant de créer des règles personnalisation de configuration du pare-feu (connexions entrantes ou sortantes) pour des applications, des adresses réseau ou des ports.

• [Windows 10] Microsoft a mis à jour l’expérience de création et d'édition dans la console Intune pour les baselines de sécurité. Ceci comprend notamment un processus de création sous forme d’assistant avec une seule fenêtre. En outre, vous pouvez maintenant créer des affectations dans le cadre de l'expérience de création et de modification, au lieu d'avoir à revenir ultérieurement pour affecter des états de configuration. Microsoft a ajouté un résumé des paramètres que vous pouvez afficher avant de créer une nouvelle baseline et lors de la modification d'une baseline existante. Lors de l'édition, le résumé affiche uniquement la liste des éléments définis dans la catégorie des propriétés en cours d'édition.

• [iOS/macOS] Vous pouvez utiliser des tokens pour ajouter des informations spécifiques aux périphériques dans des profils personnalisés pour les périphériques iOS/macOS. Pour rappel, les profils personnalisés permettent de configurer des fonctionnalités ou paramètrages non disponibles dans Intune. Par exemple, vous pouvez ajouter un numéro de série : {{serialnumber}} à votre fichier de configuration pour afficher le numéro de série du périphérique.

• [Android Enterprise] Un nouveau concepteur de configuration est disponible lors de la création de profil OEM dans Android Enterprise. Celui-ci est disponible lors de la création d’un profil OEMConfig en naviguant dans Device Configuration > Profiles > Create profile > Android enterprise comme plateforme > OEMConfig comme profil. On retrouve maintenant une expérience utilisateur améliorée qui affiche les détails intégrés dans l'application, y compris les titres, les descriptions et plus encore. L'éditeur JSON est toujours disponible et affiche toutes les modifications que vous apportez dans le concepteur de configuration.

Gestion des applications

• [Android] L'application Managed Home Screen donne maintenant accès à l'application Android Device Policy de Google. Pour rappel, l'application Managed Home Screen est un lanceur personnalisé utilisé pour les périphériques enregistrés dans Intune en tant que périphériques dédiés Android Enterprise (AE) utilisant le mode kiosque multi-applications. Vous pouvez accéder à l'application Android Device Policy, ou guider les utilisateurs vers l'application Android Device Policy, à des fins de support et de débogage. Cette capacité de lancement est disponible au moment où l'appareil s'inscrit et se verrouille dans l'écran d'accueil géré. Aucune installation supplémentaire n'est nécessaire pour utiliser cette fonctionnalité.

Plus d’informations sur : https://docs.microsoft.com/en-us/intune/whats-new

Microsoft avait publié les enregistrements de la série de Webinars sur Azure Information Protection. Pour rappel, Azure Information Protection permet de classifier et labéliser la donnée au moment de la création en fonction de différentes étiquettes et catégories. L’administrateur peut ensuite appliquer des stratégies de protection embarquée dans la donnée en fonction de la classification appliquée. Ce service est issu du rachat de Secure Islands et du retravaille d’Azure Rights Management (RMS).

Voir :

• Introduction: AIP basics and latest announcements : MP4 ou YouTube
• Discovery: Discover data at rest : MP4 ou YouTube
• Classification: Label taxonomy and recommendations : MP4 ou YouTube
• Protection: Protect data at rest and in motion : MP4 ou YouTube
• Monitoring: Visibility into who is accessing data : MP4 ou YouTube
• MIP SDK: How to leverage the SDK : MP4 ou YouTube
• Unified Labeling in AIP : MP4 ou YouTube

Source : https://techcommunity.microsoft.com/t5/Azure-Information-Protection/AIP-webinar-recordings-recovered/m-p/748918#M756

L’équipe Exchange vient de publier le 29ème Rollup (KB4509410) pour Exchange Server 2010 SP3 (version 14.03.0468.000).

Il corrige deux vulnérabilités :

• CVE-2019-1084 | Microsoft Exchange Information Disclosure Vulnerability
• CVE-2019-1136 | Microsoft Exchange Server Elevation of Privilege Vulnerability

Télécharger Update Rollup 29 For Exchange 2010 SP3 (KB4509410)

SQL Server Management Studio a été décorrélé de l’installation de SQL Server depuis la version 2016, il est maintenant possible de télécharger l’outil séparément. La version 18.2 a été mise à disposition et permet de se connecter de SQL Server 2008 à SQL Server 2017.

Cette nouvelle version apporte :

• Intellisense/éditeur : Ajout de la prise en charge de la classification des données
• Exécution d'une requête : Ajout d'un temps d'exécution dans les messages pour savoir quand une requête donnée a terminé son exécution.
• ShowPlan : Ajout d'un nouvel attribut dans le plan de requête lorsque la fonction UDF scalaire est activée.
• Correction d'un problème où l'installation de SQL Server Management Studio bloquait de manière incorrecte l'installation de SQL Server Management Studio en signalant les langues qui ne correspondaient pas. Cela a pu être un problème dans certaines situations anormales comme une installation avortée ou une désinstallation incorrecte d'une version précédente de SQL Server Management Studio.
• Correction d'un problème où SQL Server Management Studio lançait une erreur lors de la suppression d'un groupe de disponibilité ayant une simple quote dans son nom.
• Correction d'un problème où SQL Server Management Studio présentait le mauvais assistant de basculement lorsque les répliquas sont configurées comme synchrones, lors de l'utilisation d'AGs (cluster type=NONE). SQL Server Management Studio va maintenant présenter l'assistant pour l'option Force_Failover_Allow_Allow_Data_Loss, qui est la seule autorisée pour le type de cluster NONE.
• Correction d'un problème où l'assistant limitait le nombre de remplacements de synchronisation autorisés à 3, même si SQL Server 2019 supporte jusqu'à 5 (Enterprise / Developer / Evaluation Editions).
• Correction de problèmes qui provoquaient le crash de SQL Server Management Studio lors de l'émission d'une requête contre plusieurs serveurs.
• Correction d'un problème où certains éléments de menu comme l'importation SQL Server et l'assistant d'exportation étaient manquants ou désactivés lors de la connexion à SQL Express.
• Correction d'un problème qui provoquait le plantage de SQL Server Management Studio lorsqu'un objet est glissé de l'explorateur d'objets vers l'éditeur.
• Correction d'un problème où le renommage des bases de données entraînait l'affichage de noms de bases de données incorrects dans l'explorateur d'objets.
•  Correction d'un problème qui entraînait la réinitialisation du focus sur la première ligne au lieu de la ligne active lors de l'ajout, de l'insertion, de l'édition ou de la suppression d’une étape de travail (job steps) sur l’agent SQL.

Plus d’informations sur la Release Notes

Télécharger SQL Server Management Studio (SSMS) 18.2

Microsoft vient de mettre à disposition en Public Preview un laboratoire permettant d’évaluer Microsoft Defender Advanced Threat Protection (ATP) en quelques clics. Pour rappel, Microsoft Defender Advanced Threat Protection est un service initialement inclus dans Windows 10 proposant une solution d’analyse, d’investigation et de réponse (forensic) permettant d’améliorer la détection et l’alerting. Il offre des actions de réponse et une vision courante des attaques possibles. Il permet de répondre à des attaques comme celles de ransomwares, malwares, etc.

L’intérêt de ce laboratoire est qu’il vous permet de provisionner jusqu’à 3 machines pour effectuer des tests d’attaques et voir le résultat directement dans le portail Microsoft Defender ATP. Le laboratoire permet de se connecter en RDP sur les machines pour exécuter les actions souhaitées. Ces machines virtuelles sont préinstallées avec Office, les outils SysInternals, Java etc.

Accéder à Microsoft Defender ATP Evaluation lab

Source : https://techcommunity.microsoft.com/t5/Microsoft-Defender-ATP/Microsoft-Defender-ATP-Evaluation-lab-is-now-available-in-public/ba-p/770271

A partir du 1^er Octobre 2019, Microsoft Intune va bloquer les applications, périphériques et connexions qui utilisent TLS 1.0 ou TLS 1.1. Le but est d’améliorer le chiffrement et d’assurer que le service est plus sécurisé par défaut. Le but est aussi de s'aligner sur les autres services Microsoft.

Les clients qui ont encore des applications, des périphériques ou qui se connectent au service en utilisant TLS 1.0 ou TLS 1.1. Toutes les combinaisons client-serveur et navigateur-serveur doivent utiliser TLS version 1.2 pour pouvoir se connecter à Intune. Notez qu'Apple a également migré vers le support de TLS 1.2 et plus et que les périphériques tels que ceux fonctionnant sous Android 4.3 et moins seront bloqués.

Vous pouvez consulter une liste des périphériques et navigateurs supplémentaires concernés sur : https://techcommunity.microsoft.com/t5/Intune-Customer-Success/Intune-moving-to-TLS-1-2-for-encryption/ba-p/280118

Microsoft vient de mettre à jour en version 16.0.11901.20022 l’outil de personnalisation pour Office (OCT) permettant de personnalisation le déploiement d’Office.

Cette version apporte les éléments suivants :

• Ajout de la prise en charge de produits supplémentaires lorsqu'ils sont installés avec Office 2019 : Access Runtime, Skype for Business Basic.
• Ajout de la prise en charge de l'installation conditionnelle des produits autonomes lors de la mise à niveau à partir de MSI.

Télécharger Office Deployment Tool

Petit rappel ! Microsoft a annoncé la fin de support de la gestion des périphériques mobiles (MDM) en mode hybride via System Center Configuration Manager couplé à Microsoft Intune pour le 1er septembre 2019. Il reste donc un mois pour migrer !

Les clients concernés ont été informés via une notification (MC146431) dans l’Office Message Center du portail Office 365 et beaucoup ont été contactés par Microsoft. Pour savoir si vous utilisez le mode hybride, vous pouvez ouvrir la console Configuration Manager et naviguer dans Administration – Cloud Services – Microsoft Intune Subscriptions. Si vous constatez qu’un abonnement est présent, c’est que vous utilisez le mode hybride.

Les clients qui migrent sur Microsoft Intune en mode autonome n’ont pas à opérer de changement de licences puisque ces dernières, restent les mêmes. Lorsque la fin du service sera effective le 1er septembre 2019, les périphériques gérés en mode hybride ne recevront plus de stratégies, d’applications, etc.

Pour les clients hybrides, vous devez commencer à réfléchir à la migration. Microsoft fournit un chemin de migration qui permet de passer du mode hybride au mode autonome sans interruptions particulières. Vous pouvez vous référez à la documentation. Dans les grandes lignes, le processus est le suivant :

1. Importer les données de Configuration Manager dans Microsoft Intune via l’outil Intune Data Importer Tool. Ceci inclut les stratégies, les profils, les déploiements, etc.
2. Préparer Intune pour la migration des utilisateurs. Ceci inclut la création des groupes Azure Active Directory, l’installation des connecteurs Exchange ou NDES.
3. Changer l’autorité MDM pour certains utilisateurs et procéder ainsi à la migration par lots. Ceci met votre tenant dans une mode d’autorité mixte.
4. Changer l’autorité MDM à Microsoft Intune seul.

Les clients peuvent se faire assister par le programme Microsoft FastTrack.

Dans les faits, voici quelles sont les options pour chaque plateforme si vous utilisez le mode hybride :

• Périphériques Windows 10 Desktop ou Mobile : Passage du mode hybride vers Microsoft Intune autonome ou Co-Management via Configuration Manager et Microsoft Intune.
• Périphériques iOS : Passage du mode hybride vers Microsoft Intune autonome.
• Périphériques Android : Passage du mode hybride vers Microsoft Intune autonome.
• Périphériques macOS : Passage du mode hybride vers Microsoft Intune autonome.

Microsoft est en tain d’évaluer un problème entre les périphériques Samsung S10 Series qui viennent avec les applications Office préchargées et l’accès conditionnel ou les stratégies de protection applicatives (APP/MAM). Il n’est pas possible d’utiliser ces deux fonctionnalités avec la version d’Office qui ne peut être téléchargé qu'à partir de l'app store de Samsung. Par exemple, un utilisateur peut se connecter à cette application et accéder à One Drive et Sharepoint et enregistrer des fichiers localement sur le périphérique sans impact des stratégies de protection des données Intune.

Pour contourner ce problème et appliquer vos stratégies de protection des applications, vous devez d'abord savoir quelle version d'Office est utilisée. Voici vos trois options :

• microsoft.office.officehubrow préinstallée sur les périphériques Samsung en dehors des États-Unis et de la Chine
• microsoft.office.officehubhl préinstallée sur les périphériques Samsung aux États-Unis
• microsoft.office.office.officehub est disponible dans les magasins en Chine

Une fois que vous savez quelle version d'Office préinstallée vous utilisez, vous allez devoir appliquer les stratégies de protection d'application que vous avez appliquées à Office. Ceci permettra de fournir des protections pour la nouvelle application Office de la même manière que vous protégez actuellement Office.

Microsoft travaille pour ajouter ces applications à la liste des applications ciblées dans le portail Microsoft Intune.

Source : https://techcommunity.microsoft.com/t5/Intune-Customer-Success/Support-Tip-Known-Issue-Using-Samsung-S10-Series-and-Office-with/ba-p/774108

Microsoft a annoncé la fin du support des versions 4.x d’Android. Ainsi à partir d’Octobre, Microsoft Intune ne supportera qu’Android 5.x (Lollipop).

Si vous utilisez le SDK Intune App, vous devez mettre à jour la dernière version et de mettre à jour vos périphériques vers Android 5.x ou ultérieur. Si vous ne mettez pas à jour, les applications ne recevront pas de mises à jour et la qualité de leur expérience diminuera avec le temps.

Vous trouverez ci-dessous une liste des périphériques courants enregistrés dans Intune qui utilisent la version 4.x d'Android. Si vous avez l'un de ces périphériques, prenez les mesures appropriées pour vous assurer que ce périphérique prendra en charge la version 5.0 ou supérieure ou qu'il sera remplacé par un périphérique qui prend en charge Android version 5.0 ou supérieure. Cette liste n'est pas exhaustive de tous les périphériques qui pourraient être impactés :

• Samsung SM-T561 SM-T561
• Samsung SM-T365
• Samsung GT-I9195
• Samsung SM-G800F
• Samsung SM-G357FZ
• Motorola XT1080
• Samsung GT-I9305
• Samsung SM-T231 SM-T231

Microsoft vient de publier les versions 1.53.10.0 du client classique et 2.2.14.0 du client Unified Labeling d’Azure Information Protection.

Parmi les changements sur le client classique on retrouve :

• Nouveau paramètre client avancé pour exempter les messages Outlook des paramètres de stratégie Tous les documents et courriels doivent avoir un label.
• Nouveau paramètre client avancé pour personnaliser davantage les paramètres qui implémentent des messages contextuels dans Outlook qui avertissent, justifient ou bloquent les e-mails envoyés. Avec ce nouveau paramètre avancé, vous pouvez définir une action différente pour les messages électroniques sans pièces jointes.
• Correctif : Lorsque vous utilisez l'Explorateur de fichiers, cliquez avec le bouton droit de la souris pour labeliser un fichier dont la protection est appliquée indépendamment d'un label, cette protection est préservée. Par exemple, si un utilisateur a appliqué des permissions personnalisées à un fichier.
• Correctif : Lorsque vous remplacez l'option Ne pas transférer/Do not forward d'un fil de discussion par un label configure pour les permissions définies par l'utilisateur et Ne pas transférer, les destinataires originaux peuvent toujours ouvrir le message.
• Correctif : Dans le scénario suivant, un utilisateur ne voit plus dans l'infobulle du label que le label a été automatiquement définie par lui : Un utilisateur reçoit un courriel protégé avec un document joint qui n'est pas labelisé, mais automatiquement protégé. Lorsque l'utilisateur de la même entreprise que l'expéditeur ouvre le document, le label correspondant pour les paramètres de protection est appliqué au document.
• Le droit d'utilisation minimum pour exécuter la cmdlet Unprotect-RMSFile est maintenant Save As, Export (EXPORT) plutôt que Copy (EXTRACT).

Parmi les changements sur l’Unified Labeling Client on retrouve :

• Support des paramètres avancés que vous configurez avec PowerShell pour le Security & Compliance Center.
• Support des labels configurés pour les autorisations définies par l'utilisateur pour Word, Excel, PowerPoint et l'explorateur de fichiers :
  • Si vous avez des labels avec cette configuration depuis le portail Azure, elles sont maintenant supportées par le client Unified Labeling bien qu'il n'existe actuellement aucune configuration équivalente dans les centres d'administration.
  • Lorsqu'un utilisateur sélectionne un label avec cette configuration, il est invité à sélectionner les utilisateurs et les paramètres de protection pour le document.
• Changement dans le module PowerShell AzureInformationProtection :
  • Nouvelle cmdlet : New-AIPCustomPermissions - remplace New-RMSProtectionLicense pour créer une stratégie ad hoc pour les permissions personnalisées.
  • Dépréciation des cmdlets obsolètes qui se connectent directement à un service de protection : Clear-RMSAuthentication, Get-RMSFileStatus, Get-RMSServer, Get-RMSServerAuthentication, Get-RMSTemplate, Protect-RMSFile, Set-RMSServerAuthentication, Unprotect-RMSFile
• Correctif : Support des correspondances de contenu pour l'analyse et la classification Set-AIPFileClassification avec le paramètre DiscoveryInfoTypes.
• Correctif : Une fois que vous passez à une autre langue sous Windows, vous pouvez toujours appliquer un label avec protection à un document PDF.
• Lorsqu'un label est supprimé du contenu, la protection est également supprimée uniquement lorsqu'elle a été appliquée dans le cadre de la configuration du label. Si la protection a été appliquée indépendamment du label, cette protection est préservée. Par exemple, un utilisateur a appliqué des permissions personnalisées à un fichier.
• Lorsque l'étiquetage automatique est configuré, le label s'applique la première fois qu'un document est enregistré.
• L'étiquetage par défaut prend en charge les sous-labels.

Télécharger Azure Information Protection Client

Il semble qu’un problème touche Windows Autopilot et la page d’état de l’enregistrement (Enrollment Status Page – ESP) lorsque vous utilisez le scénario Hybrid Azure AD Joined. Dans ce cas de figure, la page d’état d’enregistrement n’attend pas que les logiciels requis définis dans le profil Autopilot, s’installent correctement.

Microsoft travaille sur un correctif qui devrait être déployés courant août.

A partir d’août, Microsoft va ajouter un nouveau paramétrage à destination de la gestion des mises à jour logicielles sur Windows 10 avec Microsoft Intune. Le paramétrage Deadline settings va remplacer « Allow user to restart (engaged restart) ». Ce dernier sera désactivé dans Intune en septembre 2019 puis complètement retiré en octobre.

Vous avez peut-être été prévenu dans le Centre de Messages d’Office 365, si Microsoft a détecté que vous gériez des périphériques Windows 10 dans votre environnement.

Microsoft recommande l’utilisation de ce paramètre Deadline settings dès août (1908) en les configurant avec les valeurs souhaitées. Une fois que vous avez cela en place, vous pouvez régler le paramètre engaged restart sur "Not Configured" pour être prêt lorsqu’il sera retiré de la console en octobre.

 En outre, vous devez mettre à jour votre documentation et tout script d'automatisation si nécessaire.

L’équipe BornToLearn a publié un tableau très pratique qui montre la correspondance entre les anciennes certifications et les toutes nouvelles certifications publiées récemment.

Microsoft a mis à jour les visionneuses qui permettant à des utilisateurs de lire du contenu issu d’Azure Information Protection. La visionneuse permet d’ouvrir et utiliser des fichiers protégés tels que PDF, fichiers texte, images et tout autre format de fichier ayant une extension.pfile.

Vous retrouvez les deux clients :

• Azure Information Protection unified labeling viewer en version 2.2.14
• Azure Information Protection viewer en version 1.53.10

Microsoft recommande l’usage de la visionneuse unified labeling à moins que vous n'ayez besoin d'enregistrer des modifications apportées aux fichiers .pfiles ou que votre entreprise n'utilise AD RMS sans l'extension de périphérique mobile.

Télécharger Microsoft Azure Information Protection Viewer

Microsoft a publié une série de vidéos pour vous entrainer sur l’outil de packaging qui vous permet de convertir vos applications au format MSIX.

Pour rappel, le format MSIX est un nouveau format standardisé lancé par Microsoft pour remplacer l’ensemble des formats de packaging existants tout en bénéficiant des avancés des différentes solutions : Click-To-Run (C2R), App-V, APPX et plus généralement du Framework d’applications universelles (UWP). Il offre donc des mécanismes de conteneurisation et les bénéfices des applications universelles avec une installation, mise à jour et désinstallation aisée sans laisser aucune trace sur le système. Il fournit aussi des mécanismes de sécurisation avancés permettant de valider l’intégrité du code exécuté. Ce format permet aussi de créer des personnalisations pour les applications packagées et de les faire perdurer au travers des différentes mises à jour de l’application.

Vous pouvez accéder au lab complet depuis :http://aka.ms/msix-labs  

Voici les vidéos :

• MSIX Training Exercise 1
• MSIX Training Exercise 2
• MSIX Training Exercise 3
• MSIX Training Exercise 4

Microsoft propose une nouvelle préversion (1.2019.701.0) de son outil de packaging MSIX (MSIX Packing Tool) depuis le Microsoft Store. Cet outil permet de prendre un package d’application Win32 existant et de la convertir au format MSIX. Vous utilisez pour cela une machine de référence pour exécuter l’outil et obtenir le package MSIX que vous pouvez ensuite déployer à la main, par votre outil de télédistribution ou depuis le Microsoft Store.

Pour rappel, le format MSIX est un nouveau format standardisé lancé par Microsoft pour remplacer l’ensemble des formats de packaging existants tout en bénéficiant des avancés des différentes solutions : Click-To-Run (C2R), App-V, APPX et plus généralement du Framework d’applications universelles (UWP). Il offre donc des mécanismes de conteneurisation et les bénéfices des applications universelles avec une installation, mise à jour et désinstallation aisée sans laisser aucune trace sur le système. Il fournit aussi des mécanismes de sécurisation avancés permettant de valider l’intégrité du code exécuté. Ce format permet aussi de créer des personnalisations pour les applications packagées et de les faire perdurer au travers des différentes mises à jour de l’application.

Pas de nouveautés dans cette préversion mais une amélioration des fonctionnalités déjà introduite précédemment :

• Possibilité d’initier un redémarrage pendant la conversion
• Capacité de spécifier d’un certificat par défaut pour la signature
• Capacité de spécifier des codes de sortie pour les redémarrages

Plus d’informations sur : MSIX Packaging Tool (Preview) is now available from the Microsoft Store

Plus d'éléments sur le format MSIX sur MSIX Intro

Télécharger MSIX Packing Tool

Microsoft vient de mettre à disposition la Preview en version 1907 de l’interface graphique permettant de gérer les infrastructure Windows Server : Windows Admin Center.

Parmi les nouveautés, on retrouve notamment les capacités :

• Estimation des coûts Azure - Les intégrations hybrides d'Azure dans Windows Admin Center incluent maintenant un lien vers Azure, pour découvrir et comprendre le coût estimé de ce service une fois embarqué.
• Mises à jour du profil de performance - Une nouvelle fonctionnalité introduite dans la version 1906, le profil de performance (disponible dans les paramètres de la passerelle) comprend désormais des fonctions d'importation et d'exportation.
• Importer une machine virtuelle - Vous pouvez maintenant renommer facilement les machines virtuelles pendant le processus d'importation si WAC détecte que le nom de la machine virtuelle existe déjà.
• Support des balises VM pour les clusters - En plus du support des balises VM pour les serveurs Hyper-V en v1906, vous pouvez maintenant ajouter/éditer des balises pour les clusters Failover et HCI.
• Bannière de redémarrage en attente - Windows Admin Center inclut maintenant une bannière dans l'outil Présentation qui vous avertit lorsqu'un redémarrage est en attente sur le serveur/ordinateur géré.

Parmi les problèmes connus, on retrouve :

• Réseau - Si vous avez configuré un adaptateur réseau Azure, la valeur sous Microsoft Azure Virtual Network Gateway Address apparaitra comme un lien mais conduira à une adresse invalide.
• Les utilisateurs de Chrome peuvent voir la réponse 403 Forbidden après la mise à niveau. La solution consiste à fermer tous les onglets chrome ouverts (assurez-vous qu'aucun processus chrome.exe n'est en cours d'exécution). Après le redémarrage du chrome, tout fonctionnera normalement. Microsoft a un message d'erreur qui l'indique clairement, mais les utilisateurs de chrome avec plusieurs onglets Windows Admin Center ouverts pendant la mise à niveau ne verront pas le message.
• Profil de performance - Il y a un problème connu où le profil de performance ne peut pas être désactivé lorsque plusieurs instances de Windows Admin Center sont exécutées sur un même bureau. Pour désactiver le profil de performances, assurez-vous qu'une seule instance (fenêtre du navigateur) est ouverte avec Windows Admin Center. Ceci sera corrigé dans la prochaine version.

 Télécharger Windows Admin Center Preview