Microsoft vient de publier l’Update Rollup 7 pour System Center 2016 Operations Manager (KB4492182). Avant d’appliquer cet UR, lisez bien les articles de la base de connaissances associés. Vous pouvez les déployer manuellement en récupérant les CAB ou via Windows Update/WSUS.

Celui-ci corrige le problème suivant :

• Correction de l’impossibilité d'utiliser SQLOleDB.dll pour sonder des bases de données comme Oracle/MySQL.
• Amélioration des performances de la console SCOM pour lister les groupes.
• Operations Manager n'efface l'historique des alertes que lors de la fermeture d’une alerte.
• Le rapport Agents by Health State indique les noms d'agents en double.
• Les utilisateurs d'un scoped group ne peuvent pas utiliser la Console.
• Correction d'un problème qui empêchait l'ajout d'un groupe dans le tableau de bord du Management Pack Storage Spaces Direct 2016.
• La redécouverte SCOM Network Device sonde maintenant aussi les périphériques SNMP V3.
• Correction du réenregistrement des traps SNMP dans le Proxy Management Server.
• La propriété de l'ordinateur Windows "NetbiosDomainName" n'est pas découvert correctement.
• La console SCOM plante en essayant de se connecter à Azure Log Analytics et Azure Monitor.
• L'agent Linux n'est pas en mesure d'obtenir la version et les détails de port corrects pour JBoss EAP 7.1.
• Un problème qui entraînait la création de plusieurs fichiers temporaires vides dans le répertoire /tmp des serveurs Linux a été corrigé.
• Correction d'un problème de formatage avec la sortie de la tâche 'Top10 CPU Processes' lors de l'utilisation des API Windows Management Infrastructure (MI).
• L'agent XPlat prend désormais en charge la surveillance de la plate-forme SUSE-11 SP4 avec le module de sécurité installé pour la conformité TLS 1.2.
• Correction d'un problème qui causait la corruption du fichier /etc/login.cfg sur les machines AIX 7 pendant l'installation/mise à jour de l'agent.
• L’agent AIX a été transformé vers 64 bits pour accommoder plus d'espace de stack et de heap si nécessaire afin d'éviter tout débordement de stack ou de heap qui mène parfois à une défaillance du hearbeat.
• Le gratuit de la mémoire libre est revu sur la plate-forme RHEL-7.

Important ! Vous devez installer la mise à jour KB3209591 avant d’installer cet Update Rollup. Je vous recommande de bien lire l’article de la base de connaissances pour connaître la marche à suivre pour l’application de cet Update Rollup.

Plus d’informations sur : https://support.microsoft.com/en-us/help/4492182/update-rollup-7-for-system-center-2016-operations-manager

Télécharger Update Rollup 7 for System Center 2016 Operations Manager

Microsoft vient de publier l’Update Rollup 7 pour System Center 2016 Service Manager (KB4492399). Avant d’appliquer cet UR, lisez bien les articles de la base de connaissances associés. Vous pouvez les déployer manuellement en récupérant les CAB ou via Windows Update/WSUS.

Celui-ci corrige le problème suivant :

• Le préfixe des work items tels que les Review Activities peut désormais contenir des espaces.
• Les changements d'état pour les demandes de service ont été modifiés dans le portail SM en faisant passer la demande de service de l'état actif à l'état "resolved" une fois que toutes les activités liées aux demandes de service sont terminées. Auparavant, la demande de service passait de l'état actif à l'état "closed".
• Correction d'un problème dû au fait que les champs de texte dans le portail étaient chiffrés et devenaient illisibles. Cela s'est produit lors de certaines erreurs de validation telles que l'erreur sur la taille de fichier joint.
• Le champ de saisie de l'utilisateur sur la page Demande de détails accepte maintenant les caractères de balises HTML.
• Le lien e-mail dans l'icône mail du portail a été corrigé afin que les utilisateurs finaux puissent ouvrir un ticket par e-mail sans avoir à se souvenir de l'adresse du service desk.
• Correction d'un problème qui empêchait le connecteur Active Directory (AD) de se connecter à un contrôleur de domaine spécifié.
• Correction d'un problème qui empêchait l'ouverture d'un formulaire d'activité parallèle, séquentielle ou dépendante dans une console SCSM en langue autre que l'anglais.
• Correction d'un bug qui ajoutait une extension supplémentaire à certains fichiers dans les pièces jointes, tout en les sauvegardant sur la machine locale.
• Correction d'un bug qui provoquait le plantage de la console lors de la création/modification d'un modèle de notification dans une console SCSM non anglophone.
• Le connecteur Active Directory (AD) a été amélioré pour sélectionner le contrôleur de domaine le plus proche.
• Les connecteurs du Service Manager pour Configuration Manager prennent désormais en charge le Configuration Manager 1810.

Important ! Je vous recommande de bien lire l’article de la base de connaissances pour connaître la marche à suivre pour l’application de cet Update Rollup.

Plus d’informations sur : https://support.microsoft.com/en-us/help/4492399/update-rollup-7-for-system-center-2016-service-manager

Télécharger Update Rollup 7 for System Center 2016 Service Manager

Microsoft vient de proposer une nouvelle CTP pour le pack d’administration ou Management Pack (MP) SCOM pour superviser les composants pour SQL Server 2008-2016 en version 7.0.16.0. Les Management Packs proposés supportent les fonctionnalités suivantes :

• Microsoft SQL Server 2008/2008 R2 Analysis Services
• Microsoft SQL Server 2012 Analysis Services
• Microsoft SQL Server 2014 Analysis Services
• Microsoft SQL Server 2016 Analysis Services

 Parmi les modifications dans cette version, on retrouve :

• Ajout de collections de performances pour les compteurs de performance MDX Query
• Ajout d'une logique de réessai à certains flux de travail afin de réduire les erreurs "Category does not exist" lancées lorsque WMI ne répond pas
• Amélioration du traitement des erreurs dans les flux de travail qui surveillent la consommation de mémoire
• Amélioration des descriptions des événements levés par le Management Pack pour faciliter la compréhension de la cause des erreurs
• Correction des tâches Start/Stop
• Correction du problème lorsque "SQLServerInstalled" était défini à "False" si la version de SQLServer DB Engine était supérieure à la version de l’instance SSAS
• Mise à jour des tableaux de bord de configuration pour afficher les tuiles des nouvelles collections de performance MDX
• Mise à jour des chaines d’affichage

Télécharger Microsoft System Center Management Packs (Community Technology Preview) for SQL Server 2008-2016 Analysis Services

Un problème touche Windows Autopilot dans un scénario Self-Deploying lorsque vous avez une configuration spécifique appliquée à l’accès conditionnel ciblant Microsoft Intune. Comme vous le savez, Windows Autopilot permet le provisionnement et la transformation de machines à partir de l’image fournit par le fabricant OEM. Le scénario Self-Deploying permet un provisionnement sans aucune action de la part de l’utilisateur. Ce scénario est ciblé pour le provisionnement de machine à usage unique comme des Kiosks (Bornes en libre-service, etc.)

Il y a quelques mois, Microsoft a introduit la possibilité d’appliquer des stratégies d’accès conditionnel uniquement lors de la phase d’enregistrement. Vous pouvez donc construire un scénario où :

• Vous appliquez de l’accès conditionnel pour enregistrer le périphérique dans Microsoft Intune en demandant par exemple une authentification à facteurs multiples (MFA). Ceci correspond à l’application Microsoft Intune Enrollment.
• Vous n’appliquez pas d’accès conditionnel pour la connexion à Microsoft Intune. Par exemple, lorsque l’utilisateur ouvre et se connecte au portail d’entreprise. Ceci correspond à l’application Microsoft Intune.

L’application d’une stratégie d’accès conditionnel sur Microsoft Intune Enrollment ne devrait impacter que les scénarios d’enregistrement manuel de périphériques iOS et Android.

Malheureusement, un bug touche le scénario Self-Deploying puisque ces deux applications sont considérées comme étant MDM par Windows Autopilot. Quand Azure AD doit déterminer quelles sont les URLs à renvoyer au client pour l’enregistrement, il n’est pas capable de gérer plusieurs entrées.

Microsoft travaille pour résoudre ceci. Dans l’immédiat, vous pouvez désactiver les stratégies d’accès conditionnel sur le service Microsoft Intune Enrollment lorsque vous utilisez le scénario Self-Deploying de Windows Autopilot.

Microsoft vient d’annoncer le retour de l’offre Retake dédiées aux certifications. Cette dernière permet d’obtenir un nouveau voucher pour repasser une certification en cas d’échec. Le prix global des deux vouchers est alors bien plus avantageux que l’achat de deux vouchers séparés.

Le voucher pour repasser l’examen est valable 12 mois à partir de l’achat. 

Plus d’informations sur :  aka.ms/ExamReplay

Si vous utilisez le déploiement de système d’exploitation via System Center Configuration Manager avec une infrastructure dans un mode HTTPS ou si vous avez activé l’Enhanced HTTP, un problème touche le téléchargement d’éléments lorsqu’il est opéré dans l’environnement Windows PE.

Notez que globalement le problème survient lorsque vous n’utilisez pas de compte d’accès réseau (Network Access Account) et donc une des deux méthodes alternatives citées plus haut.

Ce problème ne touche pas les environnements évoluant en HTTP ou les environnements HTTPS ou Enhanced HTTP qui utilisent des séquences de tâches sans Windows PE (donc sans déploiement de système d’exploitation).

Le problème est constaté bien souvent sur la tâche Apply Operating System puisque c’est la première qui effectue un téléchargement dans l’environnement Windows PE. Vous observez les messages suivants :

401 – Unsuccessful with context credentials. Retrying with supplied credentials
Network access account credentials are not supplied or invalid
401 – Unsucessfull on all retries
SendResourceRequest() failed, 80190191
SendResourceRequest(pCertContext), HRESULT=80190191
oDavRequest.GetDirectoryListing(setDirs, setFiles, pCertContext), HRESULT=80190191
Download() failed 80190191

Si vous êtes dans une des deux configurations citées plus haut, je vous recommande d’attendre pour installer System Center Configuration Manger 1902. Le problème sera résolu :

• Avec le prochain correctif cumulatif (Hotfix Rollup) pour System Center Configuration Manager 1902 qui devrait sortir dans quelques semaines
• Avec System Center Configuration Manager 1906

Depuis plusieurs semaines, de nombreuses personnes commençant l’introduction de Windows 10 1903 dans les systèmes d’informations, rapportent une incapacité de déployer des applications modernes issues du Microsoft Store via un outil de télédistribution tel que Microsoft Intune ou System Center Configuration Manager. Ceci n’affecte que les applications modernes et non pas les applications MSI ou Win32 (via l’Intune Management Extension ou SCCM). L’échec survient aussi via Windows Autopilot puisque ceci est indépendant de l’outil de télédistribution.

Microsoft vient de déployer un correctif pour corriger ce problème : 2019-05 Cumulative Update for Windows 10 Version 1903 (KB4497935)

Vous pouvez vérifier si votre système inclut le correctif en vérifiant le numéro de version. Il doit être 18362.145 ou ultérieur.

Note : Celui-ci sera généralisé via les mises à jour de sécurité dans la mise à jour cumulative de Juin publié à l’occasion du Patch Tuesday.

Plus d'informations sur : https://techcommunity.microsoft.com/t5/Intune-Customer-Success/Support-Tip-Take-Action-to-Ensure-MSfB-Apps-deployed-through/ba-p/658864

Source : https://techcommunity.microsoft.com/t5/Microsoft-Intune/Windows-10-1903-Autopilot-always-fails-at-user-app-deployment/m-p/633865

Si vous avez passé les nouvelles certifications Bêta sur la sécurité de Microsoft Azure, Microsoft vient de mettre en ligne les résultats de la certification AZ-500: Microsoft Azure Security Technologies .

Pour rappel, voici les différents éléments qui sont évalués :

• Gestion d’identité et des accès (20-35%)
  • Configurer Microsoft Azure Active Directory pour les charges de travail
  • Configurer Microsoft Azure AD Privileged Identity Management
  • Configurer la sécurité du tenant Microsoft Azure.
• Implémenter la protection de la plateforme (35-40%)
  • Implémenter la sécurité réseau
  • Implémenter la sécurité des hôtes
  • Configurer la sécurité du conteneur
  • Mettre en œuvre la sécurité de la gestion des ressources Microsoft Azure
• Gestion des opérations de sécurité (15-20%)
  • Configurer les services de sécurité
  • Configurer les stratégies de sécurité
  • Gérer les alertes de sécurité
• Sécuriser les données et applications (30-35%)
  • Configurer les stratégies de sécurité pour gérer les données
  • Configurer la sécurité pour les infrastructures de données
  • Implémenter la sécurité pour la livraison d’applications
  • Configurer le chiffrement des données au repos
  • Configurer la sécurité applicative
  • Configurer et gérer Key Vault

Microsoft met régulièrement à jour le portail d’entreprise de Microsoft Intune pour inclure des changements, des améliorations (design, etc.) ou des corrections de bugs. En décembre, Microsoft a mis à jour le portail d’entreprise pour Android afin de préparer un changement opéré par Google de leur plateforme de notification existante vers Google Firebase Cloud Messaging (FCM).

Quand Google effectuera le changement vers FCP, les utilisateurs devront avoir à minima la version datant de décembre 2018 (version 5.0.4269.0) afin de continuer à communiquer avec le Google Play Store.

Le changement opéré par Google a été opéré le 29 Mai. A partir de cette date et si la version est antérieure à 5.0.4269.0, vous ne pourrez lancer des actions telles que l’effacement à distance, la réinitialisation du mot de passe, l’installation d’application requises ou en libre-service ou l’enregistrement de certificat.

Vous pouvez voir les périphériques qui n’ont pas mis à jour le portail d’entreprise en naviguant dans le portail Microsoft Intune – Client Apps – Discovered Apps.

Vous pouvez ensuite cliquer sur les versions non conformes pour obtenir la liste des périphériques :

Plus d’informations sur : https://aka.ms/fcm_change

Microsoft va proposer un événement de questions/réponses. Cet évènement aura lieu entre le 3 et 4 juin à partir de 19h (heure française). Ask Microsoft Anything est une belle opportunité pour poser des questions sur Windows 10 et l’ensemble de l’écosystème avec une réponse directe.

Les équipes suivantes seront réunies pour répondre à vos questions : Windows Autopilot, Windows Virtual Desktop, Desktop Analytics, Microsoft Intune, Microsoft Defender ATP, System Center Configuration Manager, Azure Active Directory, Windows IoT , Microsoft Edge, Microsoft 365, etc.

Vous devez être membre de Tech Community pour poster vos questions via l’adresse : https://techcommunity.microsoft.com/t5/Windows-10-AMA/bd-p/Windows10AMA

Pour s’inscrire : https://aka.ms/ama/w10v1903

Source : https://techcommunity.microsoft.com/t5/Windows-10-AMA/June-4th-Windows-10-version-1903-AMA-for-IT-pros/m-p/624101

Adobe a publié le composant additionnel Microsoft Information Protection à installer avec Acrobat DC Continuous et Acrobat Reader DC Continuous pour permettre de lire, classifier et protéger des documents PDF. Ceci permet d’intégrer Azure Information Protection au lecteur PDF d’Adobe que ce soit sur Windows ou macOS.

Notez que seules les deux versions citées plus haut sont supportées avec Azure Information Protection et le composant additionnel Microsoft Information Protection.

Afin de pouvoir utiliser ce composant additionnel, vous devez utiliser les labels/étiquettes unifiées avec Office 365. Vous devez donc avoir migrer votre tenant afin que les clients et composants additionnels puissent aller chercher les labels dans l’Office 365 Security and Compliance Center.

Parmi les fonctionnalités supportées, on retrouve :

• Visionner un PDF protégé dans Adobe Reader DC ou Acrobat DC
• Voir les labels dans l'application
• Un PDF protégé peut être édité dans Acrobat DC (sans modifier le label ou la protection associé)

Ce qui n'est pas supporté :

• Changer la protection ou les labels
• Un PDF protégé ne peut être exporté vers un format de fichier différent.

L'extension du fichier ne change pas et reste PDF selon la spécification ISO des documents PDF. Si vous aviez déjà créé des fichiers PPDF, il existe des cmdlets qui permet de les convertir vers des fichiers PDF chiffrés.

Plus d'informations sur : Adobe reader and Microsoft Information Protection integration FAQs

Télécharger le Plugin MIP pour Acrobat DC et Acrobat Reader DC

J’en avais déjà parlé mais je profite d’un email provenant d’un client pour le rappel. En février, Microsoft a mis à jour la procédure d’enregistrement des périphériques iOS dans Microsoft Intune via Apple Configurator, Apple Business Manager, Apple School Manager ou Apple Device Enrollment Program (DEP) en utilisant Setup Assistant pour l’authentification. Ce changement requiert à une adaptation de votre configuration notamment pour les périphériques enregistrés avec affinité utilisateur.

Lors de d’enregistrement de nouveaux périphériques et de l'authentification à l'aide de l'assistant de configuration (Setup Assistant), vous pouvez choisir de déployer ou non l'application Portail d'entreprise automatiquement. Les utilisateurs finaux ne verront plus l'écran "Identifier votre appareil" et l'écran "Confirmer votre appareil" dans le flux d’enregistrement.

Sur les périphériques déjà enregistrés via l'Assistant de configuration (Setup Assistant) via l'une des méthodes d'enregistrement des périphériques d'entreprise d'Apple si vous souhaitez activer l'accès conditionnel, vous devrez configurer une stratégie de configuration d'application avec un xml spécifique pour pousser le Portail d'entreprise uniquement pour cet ensemble de périphériques.

Maintenant que ce changement a été mis en œuvre, si vous n'avez pas déployé le Portail d'entreprise avec le profil de configuration d'application mentionné ci-dessus et si les utilisateurs finaux téléchargent l'application du Portail d'entreprise depuis l'App Store, ils pourront se connecter, mais un message d'erreur leur sera envoyé. Ils ne pourront pas utiliser l'application pour l'accès conditionnel.

Pour ce faire, vous devez télécharger l’application portail d’entreprise via le programme Apple VPP.
Vous devez ensuite créer une stratégie de configuration d’application en naviguant dans : Client Apps – App Configuration Policies. Sélectionnez l’application puis associez la configuration xml suivante :

<dict>

    <key>IntuneCompanyPortalEnrollmentAfterUDA</key>

    <dict>

        <key>IntuneDeviceId</key>

        <string>{{deviceid}}</string>

        <key>UserId</key>

        <string>{{userid}}</string>

    </dict>

</dict>

Vous devez ensuite déployer cette stratégie de configuration sur les périphériques.

Plus d’informations : https://aka.ms/enrollment_setup_assistant

Microsoft a communiqué qu’un bug a été identifié sur les paramétrages de stratégies Windows Defender Application Guard sur Microsoft Intune. Le problème survient si vous ne configurez pas ceci à travers les stratégies de groupe, graph ou les scripts. Dans ce cas, le paramétrage n’est pas activé comme prévu.

Les clients utilisant ces stratégies Application Guard ont été prévenus. Microsoft est en train de corriger le problème, les stratégies seront appliquées comme attendu dans les semaines à venir.

Microsoft a mis à disposition System Center 2019 sur les différents canaux (MVLS, MSDN, etc.). Microsoft avait déjà mis à disposition les versions d'évaluation. C’est la fin des versions Semi-Annual Channel (SAC). Il n’y aura eu que la version 1801 et 1807. Un chemin de migration est disponible de la version 2016, 1801, 1807 vers 2019.

Voici les nouveautés :

Data Protection Manager

• Support de Windows Server 2019 pour installer le serveur DPM
• Support de SQL Server 2017 pour installer la base DPM.
• Support de nouvelles charges protégées :
  • VMs Hyper-V 2019
  • Windows Server 2019
  • Exchange 2019
  • SharePoint 2019
  • VMWare vSphere 6.7
  • System Center Virtual Machine Manager 2019
• Les sauvegardes sont plus rapides avec le stockage hiérarchisés (Tiered Storage) en utilisant des SSD. On retrouve une amélioration de 50 à 70% de la rapidité des sauvegardes.
• Support de la supervision centrale pour toutes infrastructures Data Protection Manager qui sont connectées à Azure. La console vous permet à la fois de suivre les sauvegardes réalisées par le Cloud et celles On-Premises.
• Pour une conservation à long terme des données de sauvegarde VMware, vous pouvez désormais activer les sauvegardes VMware sur bande. La fréquence de sauvegarde peut être sélectionnée en fonction de la plage de rétention (qui varie de 1 à 99 ans) sur les lecteurs de bandes. Les données sur les lecteurs de bande pourraient être comprimées et chiffrées.
• DPM 2019 prend en charge la récupération de l'emplacement d'origine (OLR) et la récupération de l'emplacement alternatif (ALR) pour restaurer la VM protégée.
• Toutes les sauvegardes de machines virtuelles VMWare au sein d'un même groupe de protection sont parallèles, ce qui permet des sauvegardes de VM 25% plus rapides.
• Avec les versions antérieures de DPM, les sauvegardes parallèles n'étaient effectuées qu'entre les groupes de protection. Avec DPM 2019, les travaux de réplication incrémentiels VMWare s'exécutent en parallèle. Par défaut, le nombre de travaux à exécuter en parallèle est fixé à 8.

Operations Manager

• Support du mode Service Logon avec le durcissement des comptes de service afin de ne pas demander les droits d’Interactive et Remote Interactive Log on.
• Amélioration des performances dans la console où généralement la console cessait de répondre lorsqu'un nouveau Management Pack est importé ou supprimé, ou lorsqu'un changement de configuration vers un MP est enregistré.
• Il est maintenant possible d’insérer une clé produit directement depuis la console d’Operations et plus uniquement avec la cmdlet PowerShell.
• Amélioration de la console Web afin d’être complètement compatible en HTML5 et fournir :
  • Une interface utilisateur moderne
  • La création simplifiée de widgets et de tableaux de bord
  • L’accessibilité à partir de plusieurs navigateurs dont Internet Explorer 11, Microsoft Edge 40 et plus et Google Chrome 67 et plus
  • L’amélioration de l'expérience de dépannage avec les pages de recherche de pannes
  • L’extensibilité avec un widget personnalisé utilisant une nouvelle API REST
  • La possibilité d'exporter et de partager des tableaux de bord
  • Une nouvelle option All pour sélectionner tous les objets lors de la création/modification du widget Alertes.
• Amélioration de l’expériences des alertes relatives aux moniteurs :
  • L'expérience de fermeture des alertes pour les alertes générées par un moniteur a été remaniée afin d'être plus significative et d'avoir plus d'impact sur les objectifs de disponibilité de service.
  • Lorsque vous visualisez le détail d'une alerte dans la vue des alertes, vous pouvez voir si l'alerte a été générée par une règle ou un moniteur. Si l'alerte a été générée par un moniteur, vous devez autoriser le moniteur à résoudre automatiquement l'alerte lorsque l'état de santé revient à sain.
  • Dans les versions antérieures de SCOM, si vous aviez fermé l'alerte alors que l'objet est dans un état d'alerte, critique ou malsain, le problème reste non résolu et aucune autre alerte n'est générée à moins que l'état de santé du moniteur ait également été réinitialisé, ce qui est également une tâche manuelle. Ce comportement, qui a souvent conduit à la fermeture d'alertes critiques sans résoudre le problème sous-jacent, est résolu avec Operations Manager 2019. Une alerte générée par un moniteur ne peut être fermée que si l'état de santé du moniteur correspondant est sain.
• Amélioration des notifications et abonnements pour permettre les notifications par email qui embarque du format HTML et l’utilisation d’expressions régulières pour construire des critères d’abonnements complexes.
• Support de la bascule des Management Server pour la supervision de Linux/UNIX
• Le mode de maintenance est maintenant déclenché en fonction d'un événement, au lieu d'être basé sur le registre comme dans les versions précédentes. Comme les événements sont presque en temps réel, un Management Server lit immédiatement l'événement du mode maintenance depuis l'ordinateur de l'agent et ne manquera jamais de traiter la demande de maintenance.
• Operations Manager 2019 s’assure que le mode maintenance planifiée fonctionne comme prévu avec SQL Server AlwaysOn.
• Les consoles Service Manager et SCOM peuvent être installées sur la même machine tout comme les modules PowerShell.
• Support de Windows Server 2019
• Supprort de SQL Server 2017 pour l’installation de la base de données
• Amélioration de la supervision des URLs pour les erreurs de certificats serveurs.
• Support de la supervision côté client via les navigateurs : Microsoft Edge 42+ et Google Chrome 68+.
• Côté Linux/UNIX :
  • Support des nouvelles plateformes Linux suivantes : SUSE Linux Enterprise Server 15, openSUSE Leap 15, Ubuntu 18, Debian 9, SUSE 12 PPC.
  • Support d’OpenSSL 1.1.0 pour supporter TLS 1.2
  • La page Updates and Recommandation a été étendu pour Linux et vous proposer des Management Packs.
  • Pour empêcher les journaux SCX de croître et de consommer tout l'espace libre disponible sur le disque système, une fonction de rotation des journaux est maintenant disponible pour l'agent SCX.
  • Changements autour de l’installation de l’agent Linux avec un bundle qui se compose maintenant de scx et omi uniquement. Si vous souhaitez utiliser la fonction de surveillance des journaux, vous devez installer le Management Pack Linux Log Monitoring.
  • Les agents UNIX et Linux ont été améliorés pour détecter dynamiquement le pseudo système de fichiers et ignorer l'énumération.
  • Vous pouvez maintenant utiliser un agent Linux avec le support de FluentD pour la surveillance des fichiers journaux.
  • Support de l'authentification Kerberos partout où le protocole WS-Management est utilisé par le Management Server pour communiquer avec les ordinateurs UNIX et Linux, offrant une plus grande sécurité en ne nécessitant plus d'activer l'authentification de base pour la gestion à distance Windows (WinRM).
• Côté Application Performance Monitoring (APM)
  • Support des serveurs d’applications suivants :
    • Apache Tomcat 7, Apache Tomcat 8, Apache Tomcat 9
    • Red Hat JBoss 4, JBoss 5, JBoss 6, JBoss 7, Wildfly Application Server 8/9/10/11/12/13/14, Red Hat JBoss EAP 6, Red Hat JBoss EAP 7
    • IBM WebSphere 7.0, WebSphere 8.0, WebSphere 8.5, WebSphere 9.0
    • Oracle WebLogic 10gR3, Oracle WebLogic 11, WebLogic 12cR1, WebLogic 12cR2
  • Support de la supervision des sites web créés avec SharePoint 2016
  • Vous pouvez désactiver le composant APM lors du déploiement de l’agent.

Service Manager

• Support de SQL Server 2017 pour la base de données
• Amélioration du connecteur Active Directory pour synchroniser à partir d’un contrôleur de domaine spécifique spécifié dans la requête LDAP.
• La console est plus rapide et fonctionnelle via l’adressage de problèmes de fuite mémoire.
• Support du mode Service Logon pour les comptes Service Manager ne demandant pas la permission Allow log on locally.
• Intégration de tous les correctifs apportés dans l’Update Rollup 5 de System Center 2016 Service Manager.
• Amélioration de l’expérience d’évaluation de Service Manager.

Orchestrator

• Support de PowerShell 4.0+ permettant d’exécuter des scripts en 64-bits et d’avoir accès à de nombreuses fonctions qui n’étaient pas possibles avec PowerShell 2.0
• Support de SQL Server 2017 pour la base de données
• L’intégration Service Manager/SCOM est mieux réalisée et ne comporte que des dépendances sur les consoles respectives
• Il n’est plus nécessaire de réaliser de solutions de contournement pour se connecter en SSH sur les dernières versions de Linux/UNIX
• Support de TLS 1.2
• Intégration de tous les correctifs apportés dans l’Update Rollup 6 de System Center 2016 Orchestrator.

Service Management Automation

• Support de PowerShell 4.0+ permettant d’exécuter des scripts en 64-bits et d’avoir accès à de nombreuses fonctions qui n’étaient pas possibles avec PowerShell 2.0
• Support de SQL Server 2017 pour la base de données
• Support de TLS 1.2
• Intégration de tous les correctifs apportés dans l’Update Rollup 5 de System Center 2016 SMA.

Virtual Machine Manager

• Admin
  • Support des Group Managed Service Accounts comme comptes de service VMM.
  • Support de la gestion des hôtes VMWare ESXi v6.5.
  • Support de SQL Server 2017
  • Le rafraîchissement de l'hôte VMM a fait l'objet de certaines mises à jour pour améliorer ses performances. Avec ces mises à jour, dans les scénarios où l'organisation gère un grand nombre d'hôtes et de machines virtuelles avec des points de contrôle, vous pourriez observer des améliorations significatives et notables.
  • VMM prend en charge la session console améliorée qui permet les opérations Couper (Ctrl + X), Copier (Ctrl + C) et Coller (Ctrl + V) sur le texte ANSI et les fichiers disponibles dans le presse-papiers, permettant ainsi de copier/coller des commandes pour le texte et les fichiers depuis et vers la VM.
• Compute
  • Support de la virtualisation imbriquée (Nested Virtualization)
  • VMM 2019 supporte la mise à niveau de cluster Storage Space Direct (S2D) entre Windows Server 2016 et 2019
  • Support de la déduplication pour les volumes ReFS sur les clusters hyperconvergés Windows Server 2019
  • Migration de VMs VMware (EFI firmware-based) vers des VMs Hyper-V
• Storage
  • Storage DO : Cette fonction permet d'éviter que le stockage partagé en cluster (CSV et partages de fichiers) ne soit saturé en raison de l'expansion/de nouveaux VHD placés sur le stockage partagé en cluster. Vous pouvez maintenant définir une valeur de seuil pour déclencher un avertissement lorsque l'espace de stockage libre dans le cluster de stockage partagé devient inférieur au seuil, lors d'un nouveau placement de disque ou d'une migration automatique des VHD vers un autre stockage partagé dans le cluster.
  • Vous pouvez superviser l’état de santé du stockage depuis la page Fabric de la console VMM.
  • VMM vous permet de sélectionner un cluster de volumes partagés (CSV) pour placer un nouveau disque dur virtuel (VHD).
  • Amélioration de la QoS sur le Storage avec :
    • Extension du support SQoS au-delà de S2D - Vous pouvez désormais affecter des stratégies de QoS de stockage aux réseaux de stockage (SAN).
    • La prise en charge des politiques de QoS du cloud privé VMM.
    • Disponibilité des politiques de QoS de stockage en tant que modèles.
  • Networking
    • Configuration des Virtual IPs Software Load Balancing depuis les modèles de service.
    • Support du chiffrement des réseaux VMM. Le chiffrement de bout en bout peut être facilement configuré sur les réseaux VM en utilisant le contrôleur réseau (NC). Ce chiffrement empêche le trafic entre deux machines virtuelles du même réseau et du même sous-réseau, d'être lu et manipulé.
    • Vous pouvez configurer la passerelle/gateway pour le transfert de couche 3 avec la console.
    • Vous pouvez définir une adresse MAC statique sur les machines virtuelles déployées sur un cloud. Vous pouvez également changer l'adresse MAC de statique à dynamique et vice versa pour les machines virtuelles déjà déployées.
    • VMM supporte le protocole LLDP (Link Layer Discovery Protocol). Vous pouvez maintenant afficher les propriétés des périphériques réseau et les informations sur les capacités des hôtes. Le système d'exploitation hôte doit être Windows 2016 ou supérieur.
    • VMM vous permet de convertir un switch embedded teaming (SET) en switch logique en utilisant la console VMM.
    • VMM supporte la mise à jour d'un hôte S2D ou d'un cluster. Vous pouvez mettre à jour des hôtes ou des clusters S2D individuels en fonction des lignes de base configurées dans WSUS.
    • Configuration des clusters invités dans le SDN à travers VMM.
  • Azure
    • Support du patching des machines virtuelles On-Prem (gérées par VMM) avec l'abonnement Azure Automation.
    • Nouveau rôle RBAC : Virtual Machine Administrator. L'utilisateur de ce rôle a un accès en lecture et écriture à toutes les machines virtuelles, sauf à l'accès en lecture seule à la fabric.
    • Support de la gestion des VM basées sur Azure Resource Manager, l'authentification basée sur Azure Active Directory (AD) qui est créée en utilisant le nouveau portail Azure et les abonnements Azure spécifiques aux régions (Allemagne, Chine, régions Azure du gouvernement américain).
  • Sécurité
    • Support des machines virtuelles protégées Linux (Linux Shielded VM)
    • Configuration des Host Guardian Service de bascule.

Voir la Release Note et les problèmes connus pour chaque produit :

• System Center Operations Manager
• System Center Service Management Automation
• System Center Service Manager
• System Center Data Protection manager
• System Center Orchestrator
• System Center Virtual Machine Manager

Télécharger :

• System Center 2019 Service Manager – Evaluation (VHD)
• System Center 2019 Operations Manager – Evaluation (VHD)
• System Center 2019 Orchestrator – Evaluation (VHD)
• System Center 2019 Data Protection Manager – Evaluation (VHD)
• System Center 2019 Virtual Machine Manager – Evaluation (VHD)

Microsoft vient de publier les versions 1.48.204.0 du client Azure Information Protection et 2.0.779.0 du client Azure Information Protection Unified Labeling sur Windows Update.

La version 1.48.204.0 ajoute les éléments suivants :

• Le scanneur Azure Information Protection est maintenant configuré à partir du portail Azure, plutôt qu'en utilisant PowerShell.
• Le scanneur supporte plusieurs bases de données de configuration sur la même instance de serveur SQL lorsque vous spécifiez un nom de profil.
• Support des types d'informations sensibles suivants qui aident à identifier les informations d'identification dans les documents et les e-mails :
  • Azure Service Bus Connection String
  • Azure IoT Connection String
  • Azure Storage Account
  • Azure IAAS Database Connection String and Azure SQL Connection String
  • Azure Redis Cache Connection String
  • Azure SAS
  • SQL Server Connection String
  • Azure DocumentDB Auth Key
  • Azure Publish Setting Password
  • Azure Storage Account Key (Generic)
• Nouveaux paramètres client avancés qui implémentent des messages contextuels dans Outlook qui peuvent avertir, justifier ou bloquer l'envoi d'e-mails.
• Si vous labelisez et protégez les fichiers en utilisant le cmdlet Set-AIPFileLabel, vous pouvez utiliser le paramètre EnableTracking pour enregistrer le fichier sur le site de suivi des documents.
• Nouveau paramètre client avancé applicable uniquement lorsque vous configurez les paramètres de stratégie pour ne pas afficher les permissions personnalisées : Lorsqu'un fichier est protégé par des permissions personnalisées, affichez l'option permissions personnalisées dans l'Explorateur de fichiers pour que les utilisateurs puissent les voir et les modifier (s'ils ont les permissions de modifier les paramètres de protection).
• Découverte des noeuds de terminaison d'Azure Information Protection Analytics.
• Deux nouveaux paramètres client avancés pour l’analytics, pour les scénarios suivants :
  • Empêcher l'envoi de correspondances de type d'information pour un sous-ensemble d'utilisateurs lorsque vous avez coché la case dans le portail Azure pour collecter les correspondances de contenu.
  • Pour le rapport de découverte des données, indiquez si les fichiers contiennent des informations sensibles.
• Pour la liste des correctifs, rendez-vous sur l’article adéquat.

La version 2.0.779.0 corrige un problème de condition rare où parfois, aucune étiquette ne s'affiche dans les applications Office ou File Explorer. Les nouveautés étaient présentes dans la version 2.0.778.0.

Télécharger Microsoft Azure Information Protection

Microsoft a publié un article dans la base de connaissance concernant un problème touchant le chiffrement silencieux des disques avec BitLocker sur des machines Windows 1809 jointes à Azure Active Directory. Le chiffrement démarre bien puis s’arrête sans chiffrer aucun des disques.

Ceci touche tous les scénarios :

• Chiffrement lors du déploiement avec Windows Autopilot
• Chiffrement via les stratégies Microsoft Intune
• Chiffrement lors de la jointure automatique à Azure Active Directory via des périphériques compatibles Connected Standby

Pour les périphériques joints à Azure AD, le paramètrage AllowWarningForOtherDiskEncryption du CSP BitLocker contrôle si les utilisateurs sont invités à désactiver d'autres méthodes de chiffrement de disque si la stratégie de groupe requiert le chiffrement de disque BitLocker. Si AllowWarningForOtherDiskEncryption est réglé sur 0, le message d'avertissement est désactivé et le processus de cryptage BitLocker s'exécute en silence.

Si les autres méthodes de chiffrement ne sont pas désactivées, le processus de chiffrement ne peut pas sauvegarder la clé de restauration BitLocker sur Azure AD. Cet échec, à son tour, provoque l'arrêt du processus de chiffrement sans chiffrer les lecteurs. Ce problème se produit quel que soit le niveau d'autorisation de l'utilisateur sur l'ordinateur.

Pour contourner le problème, Microsoft recommande de chiffrer manuellement la machine via le panneau de configuration.

Microsoft a publié la mise à jour corrigeant ce problème : May 21, 2019—KB4497934 (OS Build OS 17763.529)

Source : https://support.microsoft.com/en-us/help/4501517/bitlocker-cannot-silently-encrypt-drives-on-azure-ad-joined-devices

Microsoft propose une nouvelle préversion (1.2019.522.0) de son outil de packaging MSIX (MSIX Packing Tool) depuis le Microsoft Store. Cet outil permet de prendre un package d’application Win32 existant et de la convertir au format MSIX. Vous utilisez pour cela une machine de référence pour exécuter l’outil et obtenir le package MSIX que vous pouvez ensuite déployer à la main, par votre outil de télédistribution ou depuis le Microsoft Store.

Pour rappel, le format MSIX est un nouveau format standardisé lancé par Microsoft pour remplacer l’ensemble des formats de packaging existants tout en bénéficiant des avancés des différentes solutions : Click-To-Run (C2R), App-V, APPX et plus généralement du Framework d’applications universelles (UWP). Il offre donc des mécanismes de conteneurisation et les bénéfices des applications universelles avec une installation, mise à jour et désinstallation aisée sans laisser aucune trace sur le système. Il fournit aussi des mécanismes de sécurisation avancés permettant de valider l’intégrité du code exécuté. Ce format permet aussi de créer des personnalisations pour les applications packagées et de les faire perdurer au travers des différentes mises à jour de l’application.

Pas de nouveautés dans cette préversion mais une amélioration des fonctionnalités déjà introduite précédemment :

• Support des installeurs Win32 qui requièrent des redémarrages. Une option permettant de faire de l’auto-connexion après un redémarrage est disponible
• De nouvelles options dans les paramétrages d’application pour :
  • Spécifier un certificat par défaut et signer des packages avec
  • Spécifier un code de sortie pour les installeurs qui nécessite un redémarrage
• Corrections de bugs et améliorations

Plus d’informations sur : MSIX Packaging Tool (Preview) is now available from the Microsoft Store

Plus d'éléments sur le format MSIX sur MSIX Intro

Télécharger MSIX Packing Tool

Microsoft vient d’annoncer la mise à disposition d’un nouvel ensemble de fonctionnalités pour Microsoft Intune.

Les fonctionnalités suivantes sont ajoutées :

Enregistrement des périphériques

• [Windows 10] Disponibilité Générale de la page d’état d’enregistrement (Enrollment Status Page).

• [Windows 10] L’interface permettant la création d’un profile d’enregistrement Autopilot a été mis à jour pour s’aligner avec les styles d’interface d’Azure.
• [iOS] Changement dans la méthode d’authentification pour les périphériques enregistrés via Apple Configurator, Apple Business Manager, Apple School Manager, et Apple Device Enrollment Program (DEP). Microsoft Intune ne supportera plus le portail d’entreprise s’il est installé manuellement par l’utilisateur lorsque l’authentification a lieu via Setup Assistant lors de l’enregistrement. Plus d’informations sur : Mise à jour du workflow d’authentification des périphériques iOS d’entreprise avec Setup Assistant.
• [iOS] La suppression d’un périphérique à partir des portails Apple Device Enrollment Program ou Apple Business Manager est répliquée dans Microsoft Intune lors de la prochaine synchronisation.

Gestion du périphérique

• [Général] Vous n’avez plus besoin d’inclure les espaces dans les numéros IMEI lors de la recherche dans la vue All Devices.
• [Windows 10] La fonctionnalité Autopilot Reset fonctionne maintenant pour tous les périphériques et plus uniquement ceux qui ne sont pas configurés pour utiliser la page d’enregistrement d’état (ESP). Si aucune page d'état d'inscription n'a été configurée pour le périphérique lors de l’enregistrement initial, le périphérique ira directement sur le bureau après la connexion. Cela peut prendre jusqu'à huit heures pour se synchroniser et paraître conforme dans Intune.

Configuration du périphérique

• [Général] Public Preview permettant d’utiliser Intune pour gérer les tâches de sécurité pour Microsoft Defender Advanced Threat Protection (ATP). Cette intégration avec ATP ajoute une approche basée sur les risques pour découvrir, prioriser et corriger les vulnérabilités et les erreurs de configuration des périphériques, tout en réduisant le temps entre la découverte et l'atténuation.

• [Windows 10] Un nouveau paramétrage de conformité permet de vérifier la version de la puce TPM sur le périphérique.

• [Windows 10] Vous pouvez configurer les scripts PowerShell pour qu'ils s'exécutent avec les privilèges d'administrateur de l'utilisateur sur le périphérique.

• [Windows 10] Microsoft a ajouté en Preview une baseline de sécurité pour Microsoft Defender Advanced Threat Protection (ATP).
• [iOS] Support de Network Access Control par F5 Access sur les périphériques iOS. Ce supporte st apporté par la mise à jour de BIG-IP 13.1.5 (Notez que BIG-IP 14 n’est pas supporté). Vous devez ensuite intégrer BIG-IP avec Intune pour NAC et cochez le paramétrage Enable Network Access Control (NAC) sur le profile VPN dans Microsoft Intune.

• [iOS] Vous pouvez empêcher l’utilisateur de modifier le partage de connexion personnel (supervisé uniquement) et désactiver la journalisation du serveur Siri. Ceci se fait via la création d’une stratégie de restriction (Device configuration > Profiles > Create profile > iOS comme plateforme > Device restrictions pour le type de profil).

• [iOS] Le paramétrage Password to access app store est renommé Require iTunes Store password for all purchases dans Device configuration > Profiles > Create profile > iOS pour plateforme > Device restrictions comme type de profil > App store, Doc viewing, and Gaming.
• [macOS] Nouveau paramétrage de restriction de périphériques pour l’application classroom. Ces paramétrages disponibles dans Device configuration > Profiles > Create profile > macOS comme plateforme > Device restrictions comme type de profile, permettent de bloquer les sceenshots, et de désactiver la librairie photo iCloud.

Gestion des applications

• [Android/iOS] Vous pouvez configurer comment l’utilisateur final met à jour des applications métiers via les stratégies de protection d’applications. Les utilisateurs finaux verront cette fonction dans la boîte de dialogue de lancement conditionnel avec la version minimale de l'application, qui les invitera à mettre à jour l'application métier. Vous devez fournir ces détails de mise à jour dans le cadre de votre stratégie de protection des applications (APP/MAM). Sous iOS, cette fonctionnalité nécessite que l'application soit intégrée (ou encapsulée à l'aide de l'outil de wrapping) avec le SDK Intune pour iOS v. 10.0.7 ou supérieur. Sur Android, cette fonctionnalité nécessite la dernière version du Portail d'entreprise. Pour configurer la façon dont un utilisateur final met à jour une application métier, l'application a besoin d'une stratégie de configuration d'application gérée qui lui est envoyée avec la clé com.microsoft.intune.myappstore. La valeur envoyée définira de quel magasin l'utilisateur final téléchargera l'application. Si l'application est déployée via le Portail d'entreprise, la valeur doit être CompanyPortal. Pour tout autre magasin, vous devez saisir une URL complète.
• [Android/iOS] Vous pouvez spécifier si la signature par défaut est activée dans Outlook sur iOS et Android. Vous pouvez aussi laisser l’utilisateur changer les paramétrages biométriques dans Outlook sur iOS.
• [Android] Pour faciliter la configuration et l'utilisation de la gestion d'Android Enterprise par les administrateurs, Intune ajoutera automatiquement quatre applications Android Enterprise communes à la console d'administration d'Intune :
  • Microsoft Intune - Utilisé pour les scénarios entièrement gérés d'Android Enterprise.
  • Microsoft Authenticator - Vous aide à vous connecter à vos comptes si vous utilisez la vérification à deux facteurs.
  • Intune Company Portal - Utilisé pour les politiques de protection des applications (APP) et les scénarios Android Enterprise Work Profile.
  • Managed Home Screen- Utilisé pour les scénarios Android Enterprise dédiés/kiosk.

Pour les entreprises qui ont déjà connecté leur tenant ou qui utilisent déjà Android Enterprise, il n'y a rien à réaliser. Ces quatre applications apparaîtront automatiquement dans les 7 jours suivant la fin du déploiement du service en mai 2019.

Supervision et Dépannage

• [Windows 10] Le rapport de chiffrement des périphériques et BitLocker est en disponibilité générale.

Plus d’informations sur : https://docs.microsoft.com/en-us/intune/whats-new

Microsoft a publié des cours gratuits sur la plateforme EDX permettant de se préparer aux dernières certifications Microsoft Azure. Notez que les cours pour les certifications AZ-100/AZ-101 et AZ-200/AZ-201 qui ont été fusionnées respectivement en AZ-103 et AZ-203 n’ont pas été revus.

Voici la liste des cours :

AZ-100: Microsoft Azure Infrastructure and Deployment

• AZ-100.1 Manage Subscriptions and Resources
• AZ-100.2 Implementing and Managing Storage
• AZ-100.3 Deploying and Managing Virtual Machines
• AZ-100.4 Configuring and Managing Virtual Networks
• AZ-100.5 Managing Identities

AZ-101: Microsoft Azure Integration and Security

• AZ-101.1 Migrate Servers to Azure
• AZ-101.2 Implementing and Managing Application Services
• AZ-101.3 Implement Advanced Virtual Networking
• AZ-101.4 Secure Identities

AZ-200: Microsoft Azure Developer Core Solutions

• AZ-200.1 Select the appropriate Azure technology development solution
• AZ-200.2 Develop for Azure storage
• AZ-200.3 Develop Azure Platform as a Service solutions
• AZ-200.4 Implement security in Azure development solutions

AZ-201: Microsoft Azure Developer Advanced Solutions

• AZ-201.1 Develop for an Azure cloud model
• AZ-201.2 Implement Azure development integration solutions
• AZ-201.3 Develop Azure Cognitive Services, Bot, and IoT solutions

AZ-300: Microsoft Azure Architect Technologies

• AZ-300.1 Deploying and Configuring Infrastructure
• AZ-300.2 Implementing Workloads and Security
• AZ-300.3 Understanding Cloud Architect Technology Solutions
• AZ-300.4 Creating and Deploying Apps
• AZ-300.5 Implementing Authentication and Secure Data
• AZ-300.6 Developing for the Cloud

AZ-301: Microsoft Azure Architect Design

• AZ-301.1 Designing for Identity and Security
• AZ-301.2 Designing a Data Platform Solution
• AZ-301.3 Designing for Deployment, Migration, and Integration
• AZ-301.4 Designing an Infrastructure Strategy

AZ-500: Microsoft Azure Security Technologies

• AZ-500.0 Microsoft Azure Security Technologies

AZ-900: Microsoft Azure Fundamentals

• AZ-900 Microsoft Azure Fundamentals

Microsoft a publié des cours gratuits sur la plateforme EDX permettant de se préparer aux dernières certifications Windows 10 et Microsoft 365.

Voici la liste des cours :

MD-100: Windows 10

• MD-100.1 installing Windows 10
• MD-100.2 Configuring Windows 10
• MD-100.3 Protecting Windows 10
• MD-100.4 Maintaining Windows 10

MD-101: Managing Modern Desktops

• MD-101.1 Deploying the Modern Desktop
• MD-101.2 Managing Modern Desktops and Devices
• MD-101.3 Protecting Modern Desktops and Devices

MS-100: Microsoft 365 Identity and Services

• MS-100.1 Office 365 Management
• MS-100.2 Microsoft 365 Tenant and Service Management
• MS-100.3 Microsoft 365 Identity Management

MS-101: Microsoft 365 Mobility and Security

• MS-101.1 Microsoft 365 Security Management
• MS-101.2 Microsoft 365 Compliance Management
• MS-101.3 Microsoft 365 Device Management

MS-200: Planning and Configuring a Messaging Platform

• MS-200.1 Understanding the Modern Messaging Infrastructure
• MS-200.2 Managing Client Access and Mail Flow
• MS-200.3 Managing High Availability and Disaster Recovery

MS-201: Implementing a Hybrid and Secure Messaging Platform

• MS201.1 Defining a Hybrid Messaging Strategy
• MS201.2 Managing Message Security, Hygiene and Compliance

MS-300: Deploying Microsoft Teamwork

• MS-300.1 Managing Office 365 Content Services
• MS-300.2 Managing SharePoint Online
• MS-300.3 Enabling Microsoft Teams for Collaboration
• MS-300.4 Enabling Office 365 Workloads for Collaboration

MS-301: Deploying SharePoint Server Hybrid

• MS-301.1 Implementing ShrePoint 2019 Infrastructure
• MS-301.2 Implementing SharePoint 2019 Service Applications
• MS-301.3 Implementing SharePoint Hybrid Scenarios
• MS-301.4 Migrating to SharePoint Online

MS-500: Microsoft 365 Security Administration

• MS-500.1 Managing Microsoft 365 Identity and Access
• MS-500.2 Implementing Microsoft 365 Threat Protection
• MS-500.3 Implementing Microsoft 365 Information Protection
• MS-500.4 Administering Microsoft 365 Built-in Compliance

MS-900: Microsoft 365 Fundamentals

• MS-900.1 Microsoft 365 Fundamentals

Alan Meeus (Product Marketing Manager, Windows Commercial) et Joe Lurie (Senior Product Marketing Manager, Windows Commercial) vont proposer un webcast suivi d’une session de questions/réponses. Cet évènement aura lieu le mardi 28 mai 2019 de 19h à 20h (heure française).

• Les derniers apports de Microsoft Defender ATP et les technologies antivirus de nouvelle génération.
• Les nouveautés pour prendre en charge la protection contre les menaces et la protection de l'identité.
• De nouveaux outils et stratégies pour vous aider à faire face plus rapidement aux tâches communes de configuration et de gestion.

Pour s’inscrire : https://info.microsoft.com/US-NOGEP-WBNR-FY19-05June-17-ON24VirtualEvent-1996_01Registration-ForminBody.html

Microsoft vient de mettre à disposition la Technical Preview 1905 (5.0.8827.1000) de System Center Configuration Manager. Pour rappel, ConfigMgr a subi une refonte de sa structure pour permettre des mises à jour aisées de la même façon que l’on peut le voir avec Windows 10. Si vous souhaitez installer cette Technical Preview, vous devez installer la Technical Preview 1804 puis utiliser la fonctionnalité Updates and Servicing (nom de code Easy Setup).

System Center Configuration Manager TP 1905 comprend les nouveautés suivantes :

Administration

• Amélioration de la console d’administration pour inclure :
  • Sur le nœud Device, vous pouvez sélectionner un périphérique et dans le panneau de détails ; un nouvel onglet Collections vous permet de lister toutes les collections dans lesquelles le périphérique est inclus. Cette fonction n’est pas disponible sous le nœud Device Collections.
  • Si vous sélectionnez une application dans la partie Software Library et Applications, le panneau de détail affiche un onglet Task Sequence qui référence les séquences de tâches où l’application est référencée.
  • Dans l’espace de travail Monitoring puis Script Status, il liste maintenant le nom des collections en plus des identifiants.
  • Vous pouvez démarrer CMPivot depuis un le nœud correspondant à la collection que vous avez ouverte dans la vue Device Collections.
  • Dans l'espace de travail Monitoring, sélectionnez le nœud Deployments. Sélectionnez un déploiement et choisissez l'action Afficher l'état dans le ruban. Dans le volet d'état de déploiement, double-cliquez sur les ressources totales pour accéder à une liste de périphériques. Lorsque vous sélectionnez un périphérique dans cette liste, vous pouvez maintenant lancer CMPivot et des scripts.
  • Dans l'espace de travail Monitoring, sélectionnez le nœud Cloud Management. Les couleurs dans les donuts pour les clients actuellement en ligne sont maintenant les mêmes que dans le graphique des clients en ligne (30 derniers jours).
  • Dans l'espace de travail Software Library, développez Application Management, puis sélectionnez le nœud Packages. Sélectionnez plus d'un package. Dans le groupe package du ruban, vous pouvez maintenant supprimer plusieurs packages à la fois.
  • Dans les nœuds Devices et Device Collections, vous pouvez maintenant ajouter une nouvelle colonne pour le SMBIOS GUID.
• Le tableau de bord Client Data Sources inclut maintenant les données relatives à Delivery Optimization. Les données ne remontent que celles relatives aux installations des mises à jour express Windows 10.
• Le hub communautaire déjà introduit dans des versions précédentes, se voit enrichi. Il permet maintenant la récupération de séquences de tâches, applications, et objets de configuration. Le hub permet de partager ces objets, mais ne partage aucun contenu source associé aux objets. Par exemple, les images de démarrage, les packages de mise à niveau du système d'exploitation ou les packages de pilotes référencés par une séquence de tâches ne sont pas partagés. Actuellement, le hub ne prend pas en charge les dépendances. Si une séquence de tâches inclut l'étape Installer l'application, les applications référencées ne sont pas partagées. Les mots de passe ou autres secrets sont supprimés d'une séquence de tâches avant le partage.
• Le Management Point vérifie toutes les cinq minutes l'état de santé de son service utilisateur. Il signale tout problème via des messages de statut pour le composant de site SMS_MP_CONTROL_MANAGER. Le service utilisateur est utilisé par le Software Center pour les applications en libre-service destinées aux utilisateurs. A partir de ConfigMgr 1906, le client utilisera le Management Point plutôt que les rôles de catalogue d’applications. Il ne sera plus possible d’installer ces rôles à partir de ConfigMgr 1910.
• Vous pouvez maintenant créer des collections sur la base d’un groupe Azure Active Directory. Les membres de la collection sont ainsi automatiquement synchronisés en fonction des membres du groupe Azure Active Directory (statique ou dynamique). Seuls les périphériques ayant un enregistrement Azure Active Directory sont pris en compte dans le groupe Azure AD. Les appareils Hybrid Azure AD Joined et Azure Active Director Joined sont supportés.
• Vous pouvez maintenant spécifier la durée minimale pendant laquelle le client Configuration Manager doit conserver le contenu mis en cache. Ce paramètre client contrôle la durée pendant laquelle le client stocke le contenu dans le cache avant de le supprimer. Dans le groupe Client cache settings des paramètres client, configurez les paramètres suivants : Minimum duration before cached content can be removed (minutes).

Client

• OneTrace est une nouvelle visionneuse de journaux inclue dans Support Center. Il fonctionne de manière similaire à CMTrace. Ils fonctionnent avec les logs ConfigMgr, les messages d’état, et les logs Windows Update.
• Vous pouvez maintenant ajouter jusqu'à cinq onglets personnalisés dans le Software Center. Vous pouvez également modifier l'ordre dans lequel ces onglets apparaissent dans le Software Center.
• Il est maintenant possible de configurer plus de notifications de compte à rebours pour les redémarrages sur les clients. On retrouve deux paramétrages dans les paramétrages client : Specify the snooze duration for computer restart countdown notifications (hours) et Display a temporary notification to the user that indicates the interval before the user is logged off or the computer restarts (minutes).

Déploiement d’applications

• L’administrateur peut créer des groupes d’applications qui peuvent être déployés comme une seule entité à l’utilisateur ou la machine. Les métadonnées du groupe d’applications sont vues comme une seule entité dans le Software Center. L’administrateur peut ordonnancer les applications dans le groupe afin de les installer dans un ordre spécifique.
• Dans la foulée des groupes d’applications, Microsoft permet la création de séquence de tâches d’installation d’applications complexes via le modèle d’application. L’administrateur peut spécifier un type de déploiement pour installer ou désinstaller une application. Cette fonctionnalité permet de déployer la séquence de tâches à une collection d’utilisateur par exemple et de spécifier des métadonnées et une icône qui seront utilisées dans le Software Center/Centre Logiciels.
  L’administrateur ne peut spécifier que des tâches non relatives à du déploiement de système d’exploitation.

• Amélioration du processus d’approbation des applications :
  • Si vous approuvez une demande d'application dans la console, puis la refusez, vous pouvez maintenant l'approuver à nouveau. L'application est réinstallée sur le client une fois que vous l'avez approuvée.
  • Dans la console, le nœud Approval Requests est renommé Applications Requets.
  • Il y a une nouvelle méthode WMI, DeleteInstance pour supprimer une demande d'approbation d'application. Cette action ne désinstalle pas l'application sur le périphérique. Si elle n'est pas déjà installée, l'utilisateur ne peut pas installer l'application à partir du Software Center.
  • Appelez l'API CreateApprovedRequest pour créer une demande pré-approuvée pour une application sur un appareil. Pour empêcher l'installation automatique de l'application sur le client, définissez le paramètre AutoInstall sur FALSE. L'utilisateur voit l'application dans le Software Center, mais elle n'est pas installée automatiquement.
• Vous pouvez maintenant réessayer l'installation d'une application que vous avez déjà approuvée pour un utilisateur ou un périphérique. L'option d'approbation ne s'applique qu'aux déploiements disponibles. Si l'utilisateur désinstalle l'application, ou si le processus d'installation initiale échoue, Configuration Manager ne réévalue pas son état et ne le réinstalle pas. Cette fonction permet à un technicien du support technique de réessayer rapidement l'installation de l'application pour un utilisateur qui solliciterait son aide.
• Depuis la console Configuration Manager, vous pouvez maintenant installer des applications sur un périphérique en temps réel. Cette fonction peut aider à réduire le besoin de collections séparées pour chaque application. Elle requiert certains prérequis.

Gestion des mises à jour logicielles

• C’est un des points que j’adressais avec l’un des scripts décrit dans mon article sur la maintenance/nettoyage de WSUS ; Microsoft ajoute maintenant la capacité de supprimer les mises à jour obsolètes de la base de données WSUS.
• Vous pouvez maintenant spécifier le temps maximum d’installation attribuée à des mises à jour. Ce paramètre se spécifie au niveau des paramètres du composant Software Update Point. Il change le temps maximum d’exécution pour les nouvelles mises à jour synchronisées. Auparavant, il devait être modifié sur chaque mise à jour. Il impacte l’ensemble des mises à jour associées à la catégorie. On retrouve :
  • Features Updates qui inclut les trois classifications : Upgrades, Update Rollups, Service Packs
  • Non-Feature Updates qui inclut une mise à jour qui n’est pas comprise dans la catégorie Features Updates et pour l’un des produits suivants : Windows 10 (toutes versions), Windows Server 2012, Windows Server 2012 R2, Windows Server 2016, Windows Server 2019, et Office 365.

Note : La fonctionnalité est listée mais non visible dans la console.

Déploiement de système d’exploitation

• C’est un projet sur lequel j’ai travaillé il y a deux ans maintenant à un MVP Summit avec Microsoft. Cela prend enfin forme directement dans le produit puisque Microsoft intègre le Task Sequence Debugger pour vous aider à dépanner une séquence de tâches sur un périphérique. Il vous suffit de sélectionner l’option Debug au moment du déploiement de la séquence de tâches. Le Debugger permet de contrôler d’une manière à vous aider à dépanner et investiguer. Vous pouvez spécifier des points de pause puis avancer, reculer, faire de l’étape par étape, etc.
  Note : Le Debugger ne marche pour l’instant que dans Windows PE.
• Déjà introduit dans la TP1904, il est maintenant possible de précharger dans le cache les packages tout comme les images de système d’exploitation et les packages de drivers. Ceci s’ajoute aux packages de mise à jour de système d’exploitation afin de mieux contrôler l’usage de la bande passante.
• L'étape Disable BitLocker a un nouveau compteur de redémarrage. Utilisez cette option pour spécifier le nombre de redémarrages nécessaires pour que BitLocker reste désactivé. Cette modification simplifie votre séquence de tâches. Vous pouvez utiliser une seule étape, au lieu d'ajouter plusieurs instances de cette étape.
• Vous pouvez ajouter via l’installeur Configuration Manager, un second nœud réplica sur un groupe de disponibilité AlwaysOn de SQL Server. Il n’est plus nécessaire de réaliser ces actions manuellement.

Gestion des paramétrages et de la conformité

• Annoncé il y a quelques semaines, Microsoft démarre le début de l’intégration des fonctionnalités de gestion de BitLocker proposées par Microsoft BitLocker Administration and Monitoring (MBAM).
• Un nouveau paramétrage de stratégie Windows Defender Application Guard permet d’ouvrir des fichiers de confiance sur l’hôte, qui devraient normalement être ouvert dans l’environnement virtuel Application Guard. Ceci s’applique à Windows 10 1809.

Plus d’informations sur : https://docs.microsoft.com/en-us/sccm/core/get-started/2019/technical-preview-1905

Il y a plusieurs mois maintenant, Microsoft annonçait l’arrivée du Co-Management de machine Windows 10 avec à la fois System Center Configuration Manager et Microsoft Intune. Ceci permet aux entreprises qui ont déjà System Center Configuration Manager de bénéficier des avancées de gestion moderne proposées par le Cloud via Microsoft Intune. Ceci donne accès à l’effacement à distance, l’accès conditionnel, Windows Autopilot, l’état de santé du client dans la console Intune, etc. Cela permet aussi aux entreprises de conserver les investissements qu’ils ont pu faire sur System Center Configuration Manager tout en se laissant le temps de passer des charges de travail initialement gérées par SCCM vers Microsoft Intune :

• Stratégies de conformité
• Stratégie de mises à jour logicielles
• Stratégies d’accès aux ressources de l’entreprise
• Gestion de l’antivirus (Endpoint Protection)
• Configuration du périphérique
• Gestion des applications Office Click-to-Run
• Déploiements d’applications clientes.

Depuis quelques temps dans des phases d’Avant-Vente pour défendre le modèle proposé par Microsoft, on se retrouve face à des solutions de gestion de périphériques mobiles (MDM) concurrentes (MobileIron, AirWatch, etc.) qui se targuent de pouvoir faire du Co-Management avec System Center Configuration Manager.

C’est le signe que c’est Microsoft qui donne la direction à l’ensemble de l’écosystème EMM/MDM. Ces acteurs qui se retrouvent chahutés n’ont que d’autres solutions que de s’aligner sur les choix de Microsoft et le vocabulaire utilisé.

Mais qu'en est-il vraiment ?

Ne confondez pas Co-Management et Co-Existence ! Bien entendu, ce serait mentir que de dire que le client Configuration Manager ne peut pas coexister sur des postes Windows 10 gérés par d’autres solutions de MDM si ce périphérique est soit joint à Azure Active Directory ou Hybrid Azure AD Join. Ce n’est bien entendu pas le cas dans un mode BYOD ou la machine n’est joint à aucun domaine.

Avoir deux autorités (un MDM et SCCM ou tout autre outil) sur un seul périphérique n’est pas si trivial car les outils (tout comme c’est le cas pour des antivirus) peuvent générer des conflits. Des valeurs de paramètres différentes peuvent s’appliquer continuellement.

System Center Configuration Manager et Microsoft Intune est le seul couple qui propose une véritable solution travaillant ensemble : Du Co-Management ! System Center Configuration Manager et Microsoft Intune communiquent ensembles pour permettre de basculer les charges de travail citées plus haut sans impacter l’un ou l’autre des outils en fonction de l’autorité qui endosse la prise en charge de la fonctionnalité.

Cette interaction n’existe pas avec d’autres solutions de MDM ! Dans ce cas, Microsoft a tout de même créé un système. Si le client ConfigMgr détecte une solution de gestion (MDM) tierce, alors certaines fonctionnalités sont automatiquement désactivées dans System Center Configuration Manager. Cela touche de manière similaire les fonctionnalités suivantes :

• Stratégies de conformité
• Analyse de mises à jour logicielles et installation
• Stratégies d’accès aux ressources de l’entreprise
• Gestion de l’antivirus (Endpoint Protection)
• Configuration du périphérique
• Gestion des applications Office Click-to-Run
• Déploiements d’applications clientes incluant les packages.

La grande différence se situe donc sur le fait qu’il n’est pas possible de choisir quelle charge de travail on souhaite gérer avec SCCM ou avec le MDM tiers. Par défaut le client SCCM désactive tout et ne garde que des fonctionnalités sommaires telles que : l’inventaire matériel et logicielles, Asset Intelligence, le contrôle d’usage logiciels et la gestion de l’alimentation. C’est pourquoi cette solution s’apparente plutôt à de la Co-Existence.

Source : https://docs.microsoft.com/en-us/sccm/comanage/coexistence

Avec la version 1904 de Microsoft Intune, Microsoft corrige deux problèmes de scénario concernant le déploiement initial de l’Intune Management Extension utilisé pour le déploiement d’applications Win32 et de scripts PowerShell.

Scénario 1 : Hybrid Azure AD Join

Auparavant, si vous procédiez au scénario de gestion suivant :

1. Réalisation de la jointure hybride à Azure AD (Hybrid Azure AD Join) d’une machine jointe initialement à Active Directory
2. Enregistrement automatique dans Microsoft Intune via la GPO : Auto MDM Enrollment with AAD Token.

Alors la machine était bien Hybrid Azure AD Join et enregistrée automatiquement (sans action de l’utilisateur) dans Microsoft Intune. Néanmoins, l’installation d’Intune Management Extension n’était pas réalisée. Il n’était ainsi pas possible de déployer des applications Win32 ou des scripts PowerShell.

Scénario 2 : Jointure manuelle dans Azure AD puis enregistrement manuelle dans Microsoft Intune

Dans ce cas, si vous procédiez au scénario de gestion suivant :

1. Jointure manuelle dans Azure AD d’une machine sans que l’option d’enregistrement automatique à Microsoft Intune soit activée sur le tenant.
2. Enregistrement manuelle par l’utilisateur dans Microsoft Intune

Dans ce cas de figure, l’installation d’Intune Management Extension n’était pas réalisée. Il n’était ainsi pas possible de déployer des applications Win32 ou des scripts PowerShell. Il fallait alors déjoindre la machine à Azure AD et refaire une jointure manuelle.

A partir d’avril 2019 :

Dans les deux cas, avec la version 1904 du service, l’extension est automatiquement installée après l’enregistrement dans Microsoft Intune. Pour les périphériques qui auraient déjà été dans cet état, il suffit de déployer une application ou un script PowerShell pour que l’installation de l’extension soit réalisée.

Jusqu’à maintenant, nous implémentions les solutions permettant d’empêcher le Dual Scan des mises à jour logicielles lorsqu’une machine est gérée avec System Center Configuration Manager. Avec les changements de stratégie, vous pouvez faire parti de ces entreprises qui gèrent les machines Windows 10 en Co-Management à la fois avec Microsoft Intune et System Center Configuration Manager.

Vous pouvez donc décider un jour de gérer les mises à jour logicielles Microsoft avec Windows Update for Business et Microsoft Intune. Néanmoins, vous voulez potentiellement continuer de déployer des mises à jour tierces avec System Center Configuration Manager (et anciennement SCUP).

Dans ce cas de figure, vous devez suivre le processus suivant :

• Configurer le Co-Management (Ceci est un prérequis bien entendu) avec Microsoft Intune
• Déplacer la charge de travail Windows Update Policies vers Microsoft Intune
• Dans les paramétrages du client ConfigMgr, vous devez (garder) activer la gestion des mises à jour logicielles.
• Ciblez ensuite des stratégies de gestion de mises à jour logicielles (Windows Update for Business) avec Microsoft Intune sur les périphériques

En finalité, le client Configuration Manager configurera automatiquement le comportement Dual Scan sur les machines pour prendre en compte ce scénario.