L’équipe du support Microsoft Intune a publié un billet concernant un problème qui touche la migration du mode hybride MDM de System Center Configuration Manager et Microsoft Intune. Il semble que les enregistrements des périphériques Apple DEP, restent dans la console d’administration. La problématique est qu’une fois que l’autorité MDM a été changé vers Intune, les administrateurs ne peuvent pas supprimer ces périphériques de la console d’administration.

Microsoft propose deux solutions de contournement :

• Si vous rencontrez ce problème avant de modifier votre autorité MDM, veuillez supprimer les enregistrements DEP de ConfigMgr.
• Si vous avez déjà migré, vous pouvez exécuter la commande SQL ci-dessous sur la base de données ConfigMgr, qui supprimera les enregistrements :

Delete from MDMCorpOwnedDevices where DeviceType=8 and DiscoverySources=4

Source : https://techcommunity.microsoft.com/t5/Intune-Customer-Success/Known-Issue-Hybrid-MDM-Migration-and-DEP-Device-Records/ba-p/357949

Microsoft a annoncé la dépréciation de certains aspects de la gestion Cloud de System Center Configuration Manager Current Branch.
En novembre 2018, Microsoft annonçait la dépréciation et la suppression du support des déploiements de Cloud Management Gateway et Cloud Distribution Point déployés dans Microsoft Azure en Classic Service (non ARM). Cette suppression interviendra à partir de la première version publiée après le 1^er juillet 2019. On peut parier pour une suppression pour la version 1910.

Récemment, Microsoft a annoncé la dépréciation et la suppression de la capacité de déployer un Cloud Distribution Point (CDP). Cette suppression sera effective lors de la sortie de la première version publiée après le 1^er Novembre 2019. On peut donc parier sur la version 1910 ou 2002.

Dans le premier cas, vous devez donc planifier le déploiement d’une Cloud Management Gateway en mode ARM.

Dans le second, cas, vous devez vérifier que vous avez un Cloud Management Gateway en mode ARM. Vous devez activer le partage du contenu, réassigner éventuellement les Boundary Groups et supprimer votre Cloud Distribution Point.

Source : https://docs.microsoft.com/en-us/sccm/core/plan-design/changes/deprecated/removed-and-deprecated-cmfeatures

Microsoft propose une nouvelle préversion (1.2019.226.0) de son outil de packaging MSIX (MSIX Packing Tool) depuis le Microsoft Store. Cet outil permet de prendre un package d’application Win32 existant et de la convertir au format MSIX. Vous utilisez pour cela une machine de référence pour exécuter l’outil et obtenir le package MSIX que vous pouvez ensuite déployer à la main, par votre outil de télédistribution ou depuis le Microsoft Store.

Pour rappel, le format MSIX est un nouveau format standardisé lancé par Microsoft pour remplacer l’ensemble des formats de packaging existants tout en bénéficiant des avancés des différentes solutions : Click-To-Run (C2R), App-V, APPX et plus généralement du Framework d’applications universelles (UWP). Il offre donc des mécanismes de conteneurisation et les bénéfices des applications universelles avec une installation, mise à jour et désinstallation aisée sans laisser aucune trace sur le système. Il fournit aussi des mécanismes de sécurisation avancés permettant de valider l’intégrité du code exécuté. Ce format permet aussi de créer des personnalisations pour les applications packagées et de les faire perdurer au travers des différentes mises à jour de l’application.

Cette préversion ajoute les fonctionnalités :

• Possibilité de convertir l'application sur une machine distante
• Amélioration de la gestion des fichiers dans l'éditeur de package
• Recommandations de versioning automatique lors de l'enregistrement dans l'éditeur de package

Plus d’informations sur : MSIX Packaging Tool (Preview) is now available from the Microsoft Store

Plus d'éléments sur le format MSIX sur MSIX Intro

Télécharger MSIX Packing Tool

Microsoft vient de publier une mise à jour (version 7.1.10242.0) du Management Pack (MP) pour Windows Server 2016+ Message Queuing. Pour rappel, System Center Operations Manager (SCOM) fait partie de la gamme System Center, il propose une supervision souple et évolutive de l’exploitation au niveau de toute l’entreprise, réduisant la complexité liée à l’administration d’un environnement informatique, et diminuant ainsi le coût d’exploitation. Ce logiciel permet une gestion complète des événements, des contrôles proactifs et des alertes, et assure une gestion des services de bout en bout. Il établit des analyses de tendance et des rapports, et contient une base de connaissances sur les applications et le système.

Lisez le guide pour implémenter et obtenir plus d’information sur ce qui est supervisé par défaut ou ce qui doit être activé via des overrides.

Télécharger System Center 2016 Management Pack for Message Queuing

Microsoft a publié un guide permettant le déploiement accéléré et plus aisé d’Azure Information Protection. Le guide revient surtout sur l’élément le plus difficile d’un projet : les prérequis métiers qui doivent être en place pour la réalisation du projet. Il s'agit donc d'un guide pour aider les décideurs et les ITs à comprendre les meilleures façons de déployer Azure Information Protection et d'éviter les erreurs qui pourraient causer des retards dans le déploiement.

Le guide aborde :

• Les concepts et éléments
• La roadmap
• Les prérequis généraux
• La phase de découverte
• La phase de Classification
• La phase de protection
• La phase de supervision
• Les bonnes pratiques

Télécharger Azure Information Protection Deployment Acceleration Guide

Microsoft vient de publier une nouvelle bêta du client Remote Desktop pour iOS. Cette nouvelle version apporte les nouveautés suivantes :

• Expérience améliorée sur les derniers périphériques iOS.
• Support des souris physiques Swiftpoint GT et ProPoint.
• Support de Windows Virtual Desktop.
• Redirection du stockage et du microphone de l'iPhone.
• Support de AVC420 et AVC444.
• Support d'accélération matériel métal.

Tester le client Remote Desktop pour iOS

Microsoft vient de mettre à disposition une nouvelle version (1.0.11) du client Web pour Remote Desktop pour Windows Server 2016 et Windows Server 2019. Vous pouvez ajouter le client web à une infrastructure existante via les commandes PowerShell.

Cette version apporte les éléments suivants :

• Permet la connexion à RD Broker sans RD Gateway dans Windows Server 2019.
• Les abonnements/feeds sont triés par ordre alphabétique (RemoteApps en premier, bureau en second).
• Correction de plusieurs bugs d'accessibilité qui amélioraient la compatibilité du lecteur d'écran.
• Mise à jour des outils de build.
• Diverses corrections de bugs.

Cette version web est simplifiée avec les fonctionnalités essentielles telles que :

• L’accès au bureau ou aux applications publiées via un abonnement (feed)
• Le Single Sign-on
• L’impression vers un fichier PDF
• L’audio en sortie
• Les résolutions dynamiques et le plein écran
• Le copier/coller de texte en utilisant les raccourcis (Ctrl + C et Ctrl + V)
• Le support des entrées par le clavier et la souris
• La localisation en 18 langues (dont le français)

Le client web est supporté par les principaux navigateurs :

• Microsoft Edge
• Internet Explorer 11
• Google Chrome
• Mozilla Firefox
• Apple Safari

Ceci permet de couvrir les principales plateformes : Windows, macOS, Chromebook et Linux.

Depuis System Center Configuration Manager 1802, il est possible d’utiliser ConfigMgr pour configurer les identifiants de groupe (Group ID) utilisés par Delivery Optimization dans Windows 10.  Pour rappel, Delivery Optimization est la solution de P2P interne à Windows 10 permettant d’optimiser la récupération de contenu provenant du Cloud. Pour l’heure Delivery Optimization supporte les mises à jour issues de Windows Update, les applications et mises à jour issues du Windows Store et plus récemment le contenu des applications Win32 déployées via l’Intune Management Extension (Sidecar).

Delivery Optimization a plusieurs comportements et modes de téléchargement. Ces derniers déterminent la source du téléchargement que les clients sont autorisés à utiliser lors du téléchargement des mises à jour Windows en plus des sources Cloud :

• HTTP Only (0) : Ce paramétrage désactive la mise en cache P2P
• LAN (1) : Ce mode de fonctionnement par défaut permet le partage entre clients sur le même réseau. Le service Delivery Optimization trouve d'autres clients qui se connectent à Internet en utilisant la même adresse IP publique que le client cible. Ces clients tentent ensuite de se connecter à d'autres clients sur le même réseau en utilisant leur adresse IP privée de sous-réseau. Ce mode pose une problématique quand il n’y a qu’une seule adresse de sortie Internet pour des clients géographiquement séparés (par exemple lors de l’utilisation de MPLS)
• Group (2): Permet de sélectionner automatiquement le groupe de machine en fonction du site Active Directory (1607+) ou du domaine (1511+). En mode groupe, le peering s'effectue sur des sous-réseaux internes, entre des périphériques appartenant au même groupe. Vous pouvez utiliser l'option GroupID pour créer votre propre groupe personnalisé indépendamment des domaines et des sites AD DS.
• Internet (3) : Active la récupération de sources à partir de clients localisés sur Internet.
• Simple (99) : Ce mode désactive complètement l'utilisation Delivery Optimization (pour les environnements hors ligne). Delivery Optimization passe automatiquement à ce mode lorsque les services cloud sont indisponibles, inaccessibles ou lorsque la taille du fichier de contenu est inférieure à 10 Mo.
• Bypass (100) : Ce mode outre passe Delivery Optimization et utilise BITS en lieu et place. C’est ce mode qui doit être utilisé si vous voulez bénéficier de BranchCache.

C’est l’option Group qui va nous intéresser le plus et être la principale solution dans le monde de l’entreprise. Pour faciliter la configuration des groupes, il est possible d’utiliser la correspondance des groupes de limites de System Center Configuration Manager afin de configurer les clients.

Cette capacité se configure dans les paramétrages du client en naviguant dans la console d’administration dans Administration – Client Settings. En sélectionnant ou créant une stratégie cliente, vous pouvez accéder au groupe Delivery Optimization.

Le passage de l’option Use Configuration Manager Boundary Groups for Delivery Optimization Group ID à Yes permet ce scénario. Il peut être très pratique notamment lors de l’utilisation du Co-Management et lorsque vous gérez certains aspects (déploiement de mises à jour ou d’applications) avec Microsoft Intune.

Attention : la configuration des identifiants de groupes (Group ID) est conditionnée par l’activation de l’option Allow peer downloads in this boundary group sur les groupes de limites en question :

L’option est activée par défaut lors de la création du groupe de limites mais sa désactivation impacte la configuration des GroupID de Delivery Optimization tout comme l’utilisation de BranchCache ou Peer Cache.

En janvier 2019, Microsoft a ajouté une demande récurrente des entreprises voulant configurer l’écran de verrouillage ou l’écran d’accueil des périphériques iOS via Microsoft Intune. Il vous est donc possible de configurer un fond d’écran pour des périphériques iOS dans mode supervisé.

Pour rappel, une périphérique iOS peut être supervisé :

• Lorsqu’il est enregistré via le programme Apple Device Enrollment Program (DEP) avant sa mise en service
• Après la mise en service du périphérique en utilisant l’outil Apple Configurator via un périphérique mac. Cette opération réinitialise le périphérique.

Plus d’informations sur : Turn on iOS Supervised Mode

Une fois ce prérequis validé, vous pouvez configurer la stratégie en ouvrant le portail Intune (Azure) ou la console de gestion des périphériques (DMAC). Naviguez ensuite dans Device configuration – Profiles.

Sélectionnez Create Profile.

Sur la page suivante, renseignez :

• Un nom de profil
• La plateforme : iOS
• Le type de profil : Device Features

Naviguez dans les paramétrages et ciblez le groupe wallpaper (supervised only).
Vous pouvez choisir à quoi le fond d’écran s’applique :

• L’écran de verrouillage uniquement
• L’écran d’accueil uniquement
• A la fois l’écran de verrouillage et l’écran d’accueil

Chargez ensuite le fichier au format PNG, JPG ou JPEG. Ce dernier ne doit pas faire plus de 750 KB.

Cliquez sur OK à deux reprises et procédez à la création du profil.

Assignez ensuite le profil à un groupe pour déployer la stratégie :

Sur le périphérique supervisé, vous pouvez ensuite valider l’application selon la configuration :

Microsoft a publié une fonctionnalité intéressante (en Preview) permettant d’envoyer les fichiers de journalisation de Microsoft Intune dans un compte de stockage Azure, Azure Event Hubs ou Azure Log Analytics. Il est possible d’envoyer :

• Les journaux d’audit sur les actions réalisées dans Microsoft Intune
• Les journaux opérationnels qui affichent des détails sur les périphériques et les utilisateurs qui ont réussi ou échoué à s’enregistrer.

Chacune des trois solutions offrent des possibilités dédiées :

• Archivez les logs Intune sur un compte de stockage Azure pour conserver les données.
• Diffusez les logs Intune vers Azure Event Hubs pour l'analyse à l'aide d'outils SIEM (Security Information and Event Management), comme Splunk et QRadar.
• Envoyez les journaux Intune à Log Analytics pour permettre des visualisations, une surveillance et des alertes riches sur les données connectées.

Pour utiliser cette fonctionnalité, vous devez avoir les éléments suivants :

• Un abonnement Azure qui sera utilisé pour le compte de stockage, Azure Event Logs ou Log Analytics
• Un tenant Microsoft Intune
• Un utilisateur qui est Global Administrator ou Intune Service Administrator pour configurer le tenant.

Pour configurer la fonctionnalité, naviguez dans le portail Azure et dans Intune puis sélectionnez Diagnostics Settings. Choisissez Turn on Diagnostics.

Vous devez ensuite sélectionner un nom de paramétrage d’audit et l’option adéquate parmi :

• Archive to storage account
• Stream to an Event Hub
• Send to Log Analytics.

Choisissez ensuite le type de logs à envoyer et la durée de rétention associée parmi :

• AuditLogs
• OperationalLogs

Sauvegardez pour que les paramétrages de diagnostic prennent effet.

Voici un problème que vous pouvez potentiellement rencontrer après la mise à niveau vers System Center Configuration Manager 1810. Vous pouvez observer des avertissements comme suit dans le fichier smsdbmon.log :

WARNING: Unable to send update on component PolicyTargetEvalNotify_iud 7884 (0x1ecc)

Dans ConfigMgr 1810+, le ciblage de stratégie a été retravailler pour être traiter sans déclanchement de la part de dbmon. Ces dernières sont traitées en fonction d’un watermark dans SQL afin de fonctionner avec les scénarios Always ON.

Pour contourner ce problème, vous pouvez supprimer les notifications de la base de données. Pour ce faire, vous devez d’abord correctement sauvegarder la base de données de site Configuration Manager et vous assurez d’avoir un bon plan de restauration.

Ensuite, vous pouvez exécuter les requêtes SQL suivantes avec SQL Server Management Studio :

select * from tablechangenotifications where component = 'PolicyTargetEvalNotify_iud' and TableName = 'Collections_L'

select * from tablechangenotifications where component = 'PolicyTargetEvalNotify_ColMember_iu' and TableName = 'Collection_MemberChg_Notif'

select * from tablechangenotifications where component = 'PolicyAssignmentChg_Notify_iu' and TableName = 'PolicyAssignmentChg_Notify'

Si l’une de ces commandes renvoie des enregistrements, vous pouvez initier la suppression via les commandes :

delete from tablechangenotifications where component = 'PolicyTargetEvalNotify_iud' and TableName = 'Collections_L'

delete from tablechangenotifications where component = 'PolicyTargetEvalNotify_ColMember_iu' and TableName = 'Collection_MemberChg_Notif'

delete from tablechangenotifications where component = 'PolicyAssignmentChg_Notify_iu' and TableName = 'PolicyAssignmentChg_Notify'

Normalement le Database Monitor devrait également annuler automatiquement ces notifications invalides après une longue période de temps, mais ceci ne doit normalement jamais dépasser 12 heures.

Microsoft a publié un nouveau lien listant les applications Microsoft et partenaires/tierces qui se sont intégrées avec le SDK de Microsoft Intune pour permettre la gestion des applications mobiles (MAM). Ces applications permettent de déployer des stratégies directement sur les applications sans avoir à enregistrer les périphériques dans Microsoft Intune.

Voici le lien : https://aka.ms/mamenabledapps. 

SQL Server Management Studio a été décorrélé de l’installation de SQL Server depuis la version 2016, il est maintenant possible de télécharger l’outil séparément. La version 18.0 est disponible en préversion 7 et permet de se connecter de SQL Server 2008 à SQL Server 2017.

Cette Preview 7 apporte les éléments suivants :

• Lorsque vous vous connectez à Azure SQL Database Managed Instance (DB/MI), vous pouvez vous y connecter avec "<Default>" comme db initial.
• Migration des paramètres SSMS (de 17.x et plus anciens à 18.0 Preview) - Lorsque vous installez SSMS 18 Public Preview 7, il détecte toutes les versions existantes de 17.x ou plus anciennes et invite l'utilisateur à migrer les paramètres SSMS vers SSMS 18.
• Ajout du support de Showplan à LocalCube RelOp pour DW ROLLUP et CUBE
• Ajout du support pour Edge Constraint dans les basez de données Graph
• Ajout du support de l'importation et de l'exportation d'applications tierces de données avec tableaux graph
• Ajout de Cloud Witness comme nouveau type de quorum et comme nouveau type de ressource dans SQL Server Management Objects (SMO) et SSMS.
• Ajout des logins AAD comme nouveau type de login dans SMO et SSMS lors de la connexion à une instance gérée de base de données SQL d'Azure.
• Ajout d'un nouvel élément d'entrée Try SSIS in Azure Data Factory sous le noeud Integration Services Catalogs, qui peut être utilisé pour lancer l'Assistant de création d'exécution d'intégration et créer rapidement Azure-SSIS Integration Runtime.
• Ajout d'un bouton Create SSIS IR dans l'assistant de création de catalogue qui peut être utilisé pour lancer l'assistant de création d'intégration et créer rapidement Azure-SSIS Integration Runtime.
• ISDeploymentWizard prend désormais en charge l'authentification SQL, l'authentification intégrée Azure Active Directory et l'authentification par mot de passe Azure Active Directory en mode ligne de commande.
• Les utilisateurs peuvent maintenant faire un clic droit sur un nœud de base de données dans l'Explorateur d'objets et exécuter une requête ou créer un nouvel ordinateur portable dans Azure Data Studio.
• Ajout d'une nouvelle fonction de classification des données dans SMO. L'objet colonne expose les nouvelles propriétés suivantes : SensitivityLabelName, SensitivityLabelId, SensitivityInformationTypeName, SensitivityInformationTypeId et IsClassified (lecture seule). Ajout d'un nouvel élément de menu Rapport de classification dans le Flyout DC
• Correction d'un problème où "[n/a]" manquait dans les options SensitivityInformationType et SensitivityLabelName.
• Un travail a été réalisé pour s'assurer que le résultat de l'analyse VA sur Managed Instance sera cohérent avec ceux qui sont exécutés dans Azure.
• L'évaluation de la vulnérabilité supporte désormais Azure SQL Data Warehouse

En outre, la nouvelle version 18.0 apporte :

• Support de SQL Server 2019
• Support des instances gérées Azure SQL (Azure SQL Managed Isntance)
• Support des bases de données Azure SQL Database.
  • SLO/Edition
  • Support pour les nouveaux SKUs Azure SQL
• Support d’Always Encrypted avec les enclaves sécurisées
• Support d’UTF8 sur les fenêtres de classement/collation
• Amélioration du Shell :
  • SSMS est basé sur le nouveau Isolated Shell de VS 2017. Cela signifie un shell moderne qui déverrouille toutes les fonctions d'accessibilité de SSMS et de VS 2017.
  • Taille de téléchargement plus petite (~400 Mo). C'est moins de la moitié de la taille de SSMS 17.x.
  • SSMS peut être installé dans un dossier personnalisé. Actuellement, ceci n'est disponible que sur la configuration en ligne de commande. Passez l'argument supplémentaire à SSMS-Setup-ENU.exe, SSMSInstallRoot = C:\MyFolder
  • Prise en charge des résolutions élevées par défaut.
  • Meilleure prise en charge des configurations avec plusieurs écrans pour s'assurer que les boîtes de dialogue et les fenêtres apparaissent sur le moniteur attendu.
  • Isolement du moteur SQL. SSMS ne partage plus de composants avec le moteur SQL. L’isolation par rapport au moteur SQL permet des mises à jour plus fréquentes.
  • Les Identifiatns de Package ne sont plus nécessaires pour développer des extensions SSMS.
• Amélioration des fonctionnalités existantes :
  • Changement du mode d'authentification des Storage Account Key à Azure AD.
  • L’option de configuration AUTOGROW_ALL_FILES pour les groupes de fichiers est disponible.
  • Suppression des options "lightweight pooling" et "priority boost" de l'interface graphique car elles sont dépréciées depuis longtemps.
  • Utilisation de "Windows Credential Manager" pour le stockage des mots de passe MRU de la boîte de dialogue de connexion.
  • Exposition de la propriété "backup checksum default" dans la page Default Settings sous Server Properties.
  • Ajout du temps réel écoulé, des lignes réelles et des lignes estimées sous Afficher le nœud Show Plan, si elles sont disponibles. Cela permettra au plan réel d'être cohérent avec le plan Live Query Stats.
  • Modification de l'info-bulle et ajout d'un commentaire pour Show Plan. Le bouton Modifier la requête pour indiquer que le texte de la requête peut être tronqué s'il comporte plus de 4000 caractères.
  • Ajout de la logique pour l'affichage de "Materializer Operator (External Select)".
  • Ajout d'un nouvel attribut "BatchModeOnRowStoreUSed" pour identifier facilement les requêtes qui utilisent la fonction "batch-mode scan on rowstores".
  • Rehash de RTO (Estimated Recovery Time) et RPO (Estimated data loss) dans le tableau de bord SSMS AlwaysOn.
  • SMO
    • Amélioration des performances des scripts
    • Extension de la prise en charge par l'OMU de la création d'index réutilisables
    • Ajout d'un nouvel événement sur les objets SMO ("Property Missing") pour aider les auteurs d'applications à détecter plus rapidement les problèmes de performance SMO
    • Exposition de nouvelle propriété DefaultBackupCheckCheckSum sur l'objet Configuration qui correspond à "backup checksum default" dans la configuration de serveur
  • Plusieurs corrections de bugs dans les domaines suivants en plus des plantages :
    • XEvents
    • Options SSMS
    • Editeur SSMS
    • Explorateur d'objets
    • Sauvegarde/Restauration/Attacher/Détacher la base de données
    • Support général d’Azure SQL DB

Microsoft a aussi déprécié les fonctionnalités suivantes :

• Diagramme de base de données
• TSQL Debugger
• exe
• Interface d'administration Dreplay
• Outils Configuration Manager, SQL Server Configuration and Reporting Server Configuration Manager

Plus d’informations sur la Release Notes

Télécharger SQL Server Management Studio (SSMS) 18.0 Preview

Microsoft a publié la Public Preview (v2.0.747.0) du nouveau client Unified Labeling d’Azure Information Protection.  Cette première version couvre les fonctionnalités standards et la classification automatique. Les fonctionnalités avancées sont attendues prochainement. Pour rappel, Azure Information Protection permet de classifier et labéliser la donnée au moment de la création en fonction de différentes catégories. L’administrateur peut ensuite appliquer des stratégies de protection embarquée dans la donnée en fonction de la classification appliquée. Ce service est issu du rachat de Secure Islands et vient englober Azure Rights Management (RMS).

Vous trouverez la comparaison des fonctionnalités entre le client et le client Unified Labeling.

Plus d’informations sur la version du client AIP Unified Labeling

Télécharger Azure Information Protection unified labeling client (PREVIEW)

Microsoft a publié un modèle Azure permettant de provisionner un environnement complet avec la Technical Preview de System Center Configuration Manager. Ceci vous permet d’éviter de créer toutes les machines virtuelles, les réseaux, de configurer les OS et d’installer le produit. C’est donc idéal si vous souhaitez créer un lab et vous maintenir pour de la veille technologique.

Il vous faudra un abonnement Azure avec assez de crédits (pour connaître le coût) pour faire tourner les éléments suivants :

• 4 machines virtuelles Standard_D2S_v3
• Un compte de stockage Standard_LRS

Pour ce faire, vous devez utiliser le template suivant : Configuration Manager Tech Preview Lab in Azure.

En premier lieu, choisissez l’abonnement à utiliser puis le groupe de ressources. Je vous recommande d’en créer un dédié. Sélectionnez l’emplacement des machines virtuelles.
Renseignez un préfix qui sera utilisé pour nommer les machines ; par exemple : CMTP-
Entrez le nom d’utilisateur pour l’administrateur et le mot de passe associé répondant aux critères suivants :

• Nombre de caractères minimum : 8.
• Taille maximale : 123 caractères
• Trois des quatre complexités suivantes :
  • Une minuscule
  • Une majuscule
  • Un chiffre
  • Un caractère spécial

Note : Les mots de passe communs sont interdits (par exemple : P@ssw0rd, etc.)

Cochez la case d’accord et cliquez sur Purchase

Le déploiement démarre et provisionne le ressource groupe avec les machines virtuelles suivantes :

• <Prefix>DC correspondant au contrôleur de domaine
• <Prefix>PS1 correspondant au site primaire
• <Prefix>Other
• <Prefix>DPMP hébergeant les rôles de systèmes de site Distribution Point et Management Point

Ce dernier peut durer entre 2 et 4 heures des étapes dans Azure aux étapes d’installation inclues à l’intérieur des machines virtuelles.

Vous pouvez suivre le déploiement en cliquant sur le statut.

Une fois les machines virtuelles provisionées, vous pouvez vous connecter en naviguant dans Virtual Machines en sélectionnant la machine virtuelle puis en cliquant sur Connect. Téléchargez et exécutez le fichier rdp.

Vous pouvez ensuite initier la connexion à l’aide du compte utilisateur créé et du nom de domaine contoso.com. La machine virtuelle <Prefix>PS1 regroupe un fichier de résultat dans %windir%\TEMP\ProvisionScript\PS1.json Si toutes les entrées montrent les étapes comme complétées, alors le déploiement est réussi.

Note : C’est d’ailleurs dans ce dossier que l’on retrouve tous les scripts de déploiement.

Plus d’informations sur : https://docs.microsoft.com/en-us/sccm/core/get-started/azure-template

L’équipe Exchange vient de publier le premier Cumulative Update (CU1) pour Exchange Server 2019. Microsoft a changé la stratégie d’assistance sur le cycle de vie d’Exchange ne nécessitant plus l’application des derniers Cumulative Update pour être supporté.

Il apporte les changements suivants :

• 4487596Emails are blocked in moderator mailbox Outbox folder when you send large volumes of emails in Exchange Server 2019
• 4487591The recipient scope setting doesn't work for sibling domains when including OUs in the scope in Exchange Server 2019
• 4487602Outlook for Mac users can still expand a distribution group when hideDLMembership is set to true in Exchange Server 2019
• 4488076Outlook on the Web can't be loaded when users use an invalid Windows language in operating system in Exchange Server 2019
• 4488079Exchange Server 2016 allows adding Exchange Server 2019 mailbox server into a same DAG and vice versa
• 4488263X-MS-Exchange-Organization-BCC header isn't encoded correctly in Exchange Server 2019
• 4488080New-MigrationBatch doesn't honor RBAC management scope in Exchange Server 2019
• 4488262Delivery Reports exception when tracking a meeting request that's sent with a room resource in Exchange Server 2019
• 4488268Disable the irrelevant Query logs that're created in Exchange Server 2019
• 4488267Test-OAuthConnectivity always fails when Exchange Server uses proxy to connect to Internet in Exchange Server 2019
• 4488266Client application doesn't honor EwsAllowList in Exchange Server 2019
• 4488265"There are problems with the signature" error occurs for digital signature message if attachment filtering is enabled in Exchange Server 2019
• 4488398"The Microsoft Exchange Replication service may not be running on server" error when you add a mailbox database copy in Exchange Server 2019
• 4488264Mailbox that has a bad move request can't be cleaned up from destination mailbox database in Exchange Server 2019
• 4488261Event ID 1002 when the store worker process crashes in Exchange Server 2019
• 4488260New-MailboxExportRequest and New-MailboxImportRequest don't honor RBAC management scope in Exchange Server 2019
• 4488259MailTip shows wrong number of users for a distribution group if the users are in different domains in Exchange Server 2019
• 4488258OAuth authentication is removed when saving MAPI virtual directory settings in EAC in Exchange Server 2019
• 4490060Exchange Web Services Push Notifications can be used to gain unauthorized access
• 4490059Reducing permissions required to run Exchange Server using Shared Permissions Model

Notez qu’après avoir installé le Cumulative Update 1 pour Exchange Server 2019, le bouton Accepter disparaît dans le message d'invitation d'un calendrier partagé dans Microsoft Outlook sur le client Web. Par conséquent, vous ne pouvez pas ajouter le calendrier partagé en cliquant directement sur le bouton Accepter. Référez-vous à la KB4471391 pour plus d’informations.

Pour télécharger le Correctif Cumulatif, vous devez passer par le portail Microsoft Volume Licensing Center.

Notez que le package peut aussi être utilisé pour mettre à jour une infrastructure existante ou installer une nouvelle infrastructure.

Depuis la prise en charge d’Android for Work ou nouvellement Android Enterprise par Microsoft Intune, Microsoft a fait évoluer la solution pour répondre de mieux en mieux à vos besoins.

Après avoir configuré le connecteur dans le portail Intune (Azure) dans la partie Client apps – Managed Google Play, vous retrouvez une intégration beaucoup plus intéressante qu’auparavant.

Parmi les limitations qui ont été levées, on retrouve :

• La capacité d’ajouter et approuver des applications issues du Google Play for Work/Enterprise directement depuis le portail Intune. Auparavant, il fallait se connecter sur le Google Play for Work pour les approuver et les synchroniser.
• La capacité de supprimer une application gérée Google Play directement depuis l’interface du portail Microsoft Intune afin d’initier l’action dans le tenant Google Play for Work de l’entreprise

Pour ajouter une nouvelle application, vous devez naviguer dans Client Apps – Apps puis sélectionner Add. Vous devez ensuite sélectionner le type d’application Managed Google Play. Cliquez sur Managed Google Play puis recherchez l’application souhaitée. Cliquez sur Approve.

Confirmez l’approbation en fonction des autorisations de l’application :

Enregistrez ensuite la configuration concernant les nouvelles demandes d’autorisations. Vous pouvez maintenir l’état d’approbation et donc installer l’application automatiquement ou révoquer l’état approuvé. Dans ce second cas, vous devrez réapprouver l’application.

L’onglet Notifications permet de configurer des adresses emails afin d’être informer des éventuelles nouvelles demandes d’autorisation. Ceci peut être très pratique si vous devez réapprouver l’application manuellement.

Cliquez sur OK

Enfin, cliquez sur Sync pour lancer la synchronisation

La synchronisation s’opère et l’application finit par apparaître dans la partie Apps.

Vous pouvez cliquer dessus et procéder au déploiement dans la partie Assignements en sélectionnant un groupe ainsi que le type de déploiement (libre-service, requis ou désinstallation) :

Pour supprimer une application existante de Microsoft Intune et du tenant Google Play for Work, vous devez naviguer dans Client Apps – Apps. Identifiez l’application puis sélectionnez les … Enfin cliquez sur Delete.

Confirmez la suppression et la désapprobation de l’application :

L’application disparait ensuite automatiquement du tenant :

Microsoft vient de republier l’ancienne version 8450 de Microsoft Deployment Toolkit (MDT). MDT est un accélérateur de solutions gratuit permettant d’optimiser le déploiement de systèmes d’exploitation. Ceci peut permettre à des clients de supporter des anciennes versions de système d’exploitation ou encore de mettre à niveau d’anciens Deployment Workbenchs vers des versions plus récentes de MDT.

Cette version a été publiée en décembre 2017 et est dépréciée par Microsoft. Elle ne doit pas être utilisée pour de nouveaux déploiements/installations.

 Plus d’informations sur : https://blogs.technet.microsoft.com/msdeployment/2017/12/21/mdt-8450-now-available/

Télécharger Microsoft Deployment Toolkit

A l’occasion de la conférence RSA, Microsoft vient d’annoncer le service SaaS Microsoft Azure Sentinel. Ce dernier constitue une Security Event Information Management (SIEM) en mode SaaS hébergée sur la plateforme Azure. Pour rappel une SIEM permet de collecter et rassembler les événements et informations de sécurité afin de donner une visibilité sur les menaces et problèmes éventuels. Azure Sentinel propose des mécanismes d’Intelligence Artificielle (IA) qui permettent d’analyser et détecter les menaces rapidement. Azure Sentinel permet aussi un mécanisme d’investigation et de tracking des activités suspicieuses puis d’automatiser les tâches et les réponses aux menaces. Vous pouvez ajouter des solutions intégrées de collecte d'informations provenant dans Office 365, Azure AD, F5, Azure Information Protection, Cisco, Azure ATP, Amazon Web Services; etc.

Plus d’informations sur : https://azure.microsoft.com/en-us/blog/introducing-microsoft-azure-sentinel-intelligent-security-analytics-for-your-entire-enterprise/

Si vous souhaitez joindre la Preview, vous pouvez suivre l’URL suivante : https://aka.ms/microsoftazuresentinel

Je vous parlais de ce problème il y a quelques jours, en parallèle Microsoft a publié un correctif non cumulatif (KB4490575) à destination de System Center Configuration Manager 1810 pour résoudre un problème concernant l’installation des mises à jour logicielles qui ne répondent pas et ne renvoient pas d’état de finalisation que ce soit lors de l’installation avec le client SCCM ou dans une séquence de tâches. Ceci survient principalement quand on installe plusieurs mises à jour mixant à la fois Office et Windows. Le problème survient le plus souvent sur Windows 10 1709 mais peut aussi affecter d’autres versions.

Mais quand est-il de System Center Configuration Manager 1806 ? Malheureusement Microsoft ne publiera pas de correctif.

Si on exécute les mises à jour lors d’une étape Install Software Update, le composant InstallSWUpdate renvoie les messages suivants dans smsts.log :

Waiting for job status notification ...

Dans le fichier WUAHandler.log vous pouvez voir que l’installation de toutes les mises à jour s’effectue avec succès bien que la main ne soit jamais rendue.

Lorsque ce comportement intervient dans un scénario de gestion des mises à jour logicielles (SUM) classique (sans séquence de tâches), vous pouvez voir que l’installation ne démarre jamais et que toutes les mises à jour restent bloquées dans un état ciStateDownloading. Vous pouvez notamment voir les éléments suivants dans le fichier UpdatesDeployment.log :

Update (Site_73523994-7973-422C-A02B-F83A7A327F36/SUM_cca31bf2-b813-48d1-a4cd-ce317d024303) Progress: Status = ciStateDownloading, PercentComplete = 0, Result = 0x0 UpdatesDeploymentAgent

Les solutions de contournement proposées :

• Réponse Officielle : Microsoft recommande le redémarrage du client SMS Host Agent (CCMexec.exe) pour résoudre le problème s’il survient. Ceci n’est pas pratique notamment dans le scénario de séquence de tâches.
• Réponse non officielle : Vous pouvez utiliser la version 1802 du client System Center Configuration Manager permette d’adresser le problème et installer les mises à jour lors du déploiement de la séquence de tâches.

Microsoft vient d’annoncer un changement prochain avec Microsoft Intune dans le processus d’enregistrement des périphériques iOS à travers les méthodes d’enregistrements d’Apple : Apple Configurator, Apple Business Manager, Apple Device Enrollment Program (DEP) en utilisant Setup Assistant pour l’authentification. Le changement s’applique aux périphériques enregistrés avec une affinité utilisateur. Le changement est prévu pour Mars.

Les profils d’enregistrement dans le portail Intune seront mis à jour afin de spécifier comment vous souhaiter authentifier le périphérique s’ils reçoivent le portail d’entreprise.

Lors de l’enregistrement de nouveaux périphériques et de l'authentification avec Setup Assistant, vous pourrez choisir de déployer ou non l'application Company Portal automatiquement. Les utilisateurs finaux ne verront plus l'écran "Identify your device" et l'écran "Confirm your device" lors de l’enregistrement.

Sur les périphériques déjà enregistrés via Setup Assistant via l'une des méthodes d'enregistrement des périphériques d'entreprise d'Apple, vous devez prendre certaines actions si vous souhaitez activer l'accès conditionnel. Vous devrez configurer une stratégie de configuration d'application avec un xml spécifique pour pousser le Company Portal vers ces périphériques.

Une fois ce changement effectué, si vous n'avez pas déployé le Company Portal avec le profil de configuration d'application et si les utilisateurs finaux téléchargent l'application du Portail d'entreprise depuis l'App Store, ils pourront se connecter, mais un message d'erreur leur sera envoyé. Ils ne pourront pas utiliser l'application pour l'accès conditionnel.

Vous devez donc créer cette stratégie de configuration d’application via le lien suivant : https://aka.ms/enrollment_setup_assistant

Microsoft vient de publier la Community Technology Preview 2.3 de SQL Server 2019. Cette version s’intègre à Apache Spark et HDFS dans une plateforme unifiée.

La CTP 2.3 ajoute les éléments suivants :

• Big data Clusters :
  • Soumettre des jobs Spark sur les grands clusters de données SQL Server à partir d'IntelliJ
  • Expérience de déploiement et de gestion d'applications pour le déploiement d'une variété d'applications liées aux données, y compris l'opérationnalisation de modèles d'apprentissage machine utilisant R et Python, l'exécution de tâches SQL Server Integration Services (SSIS), etc.
• Database Engine :
  • Restauration accélérée de la base de données pour fournir un temps de récupération constant et un retour en arrière instantané pour les transactions de longue durée.
  • Amélioration des performances dans la recompilation des plans d'interrogation, la gestion des journaux des transactions et le Query Store.
  • Amélioration du SQL graph pour permettre la suppression en cascade des edges lors de la suppression de nœuds
• SQL Server Analysis Services (SSAS)
  • Groupes de calcul dans les modèles tabulaires qui réduisent le nombre de mesures en réutilisant la logique de calcul.

Plus d’informations sur : https://cloudblogs.microsoft.com/sqlserver/2019/03/01/sql-server-2019-community-technology-preview-2-3-is-now-available/

Télécharger SQL Server 2019 CTP 2.3

Il y a quelques semaines, Microsoft annonçait l’installation par défaut de Microsoft Teams avec les dernières versions du client Office 365 ProPlus. Le changement a été opéré à partir de la version 16.0.11328.20116. Ceux qui ont utilisé Microsoft Intune pour déployer le client Office 365 ProPlus en utilisant les versions du canal mensuel (Monthly Channel), ont pu remarquer que le client était bel et bien installé par défaut. Néanmoins si vous regardez l’interface Intune, il n’est pas possible d’exclure Microsoft Teams.

Microsoft travaille à ajouter cette option. Dans l’immédiat, si vous sélectionnez une version issue du canal mensuel (Monthly Channel) ou mensuel ciblé (Monthly Targeted), vous devez sélectionner une version antérieure à la Build16.0.11328.20116.

Depuis plusieurs mois maintenant, je rencontre des problématiques récurrentes autour de la gestion des mises à jour logicielles via System Center Configuration Manager chez tous les clients que je rencontre. Parmi ces problèmes, on retrouve :

• L’incapacité de déployer des mises à jour pendant le déploiement de système d’exploitation
• Des tempêtes d’analyses/scans ou une taille du catalogue de mises à jour (métadonnées) engendrant une surconsommation de la bande passante
• Des clients qui ne se mettent pas à jour correctement en ne récupérant pas la liste de mises à jour comme attendu (timeout).
• Une surcharge importante du serveur hébergeant le rôle Software Utapdate Point

Les symptômes peuvent trouver leurs origines dans différentes raisons et je vais aborder l’une d’entre elles qui reste la plus commune et mérite une maintenance régulière.

Avec les années, les entreprises ont utilisé System Center Configuration Manager pour mettre à jour différents produits et classifications. Avec l’arrivée de Windows 10, la multiplication des versions et la complexité du système de mises à jour. La quantité de métadonnées présentent dans le catalogue des serveurs WSUS a explosé. Il n’est pas rare de voir des clients récupérer un catalogue WSUS allant jusqu’à plusieurs centaines de mégaoctets. Ceci peut engendrer des timeouts lors de la récupération de ce catalogue et une surcharge de l’infrastructure. La multiplication des timeouts a l’effet pervers d’augmenter le nombre d’aller/retour des clients sur le serveur WSUS et ainsi d’empirer la situation.

Avant d’aller plus loin, sachez que les manipulations réalisées dans cet article sont à vos risques et périls. Pour assainir son catalogue WSUS, il peut y’avoir un certain nombre d’actions de maintenance :

1. Reconfigurer les classifications, langues et produits selon vos besoins
2. Reconfigurer les règles de remplacement des mises à jour
3. Configurer le nettoyage intégré après la synchronisation
4. Lancer manuellement le nettoyage WSUS
5. Décliner les mises à jour remplacées
6. Décliner les mises à jour inutiles
7. Supprimer les mises à jour déclinées
8. Réindexer la base de données WSUS

1. Reconfigurer les classifications, langues et produits selon vos besoins

C’est la première action à réaliser ! Vous devez revalider les classifications, les langues et produits et s’assurer que vous ne synchronisez que ce dont vous avez besoin.

Pour ce faire, ouvrez la console d’administration, et naviguez dans Administration – Site Configuration – Sites. Sélectionnez le site puis Configure Site Components – Software Update Point.

Pour reconfigurer les classifications, choisissez l’onglet classifications :

Par exemple si vous ne déployez pas de mises à jour de fonctionnalités, vous pouvez aisément décocher Upgrades.

Pour configurer les produits, sélectionnez l’onglet Products :

Retirez tous les produits que vous n’utilisez plus (Windows 2000, Windows XP, etc.). Une autre erreur commune est de cocher les produits ayant la mention :

• <…> and later drivers
• <…> and later upgrade and servicing drivers
• <…> and later servicing drivers
• <…> Dynamic Update
• <…> Feature On-Demand
• <…> GDR-DU
• Windows 10 LTSB
• <…> Language Interface Packs
• <…> Drivers

Ces produits ne sont pas supportés par Configuration Manager et ne peuvent pour l’instant pas être déployés par ce biais. Visez donc à assainir la partie produit.

Faites de même dans l’onglet Languages en retirant toutes les langues que vous n’utilisez plus :

Une fois la reconfiguration effectuée, vous pouvez lancer une synchronisation en naviguant dans Software Library – Software Updates – All Software Updates. Cliquez droit sur All Software Updates et sélectionnez Synchronize Software Updates.

2. Reconfigurer les règles de remplacement des mises à jour

Une erreur assez commune est aussi de configurer des règles de remplacement avec un délai relativement long. Par défaut, Configuration Manager expire les mises à jour remplacées après 3 mois. Avec le changement de la stratégie de Microsoft visant à fournir des correctifs cumulatifs, ce délai peut être réduit. Il n’est plus nécessaire de garder des mises à jour remplacées sur plusieurs mois. Vous pouvez donc aisément réduire ce délai à 2 mois voire même expirer immédiatement les mises à jour.

Le choix de la valeur dépend de vos prérequis en matière de suivi du déploiement. L’expiration immédiate de la mise à jour arrêtera son déploiement et frisera donc votre pourcentage de conformité. Si vous devez atteindre un objectif (par exemple 98% de machines conformes), vous devez donc laisser un délai suffisant pour que les machines puissent continuer à récupérer les mises à jour. Néanmoins, les machines privilégieront potentiellement l’application d’une mise à jour plus récente.

Depuis Configuration Manager 1810, les règles de remplacement sont séparées pour les mises à jour classiques et les mises à niveau (Features Update/Upgrades). Pour ce faire naviguez dans la console d’administration puis dans Administration – Site Configuration – Sites. Sélectionnez le site puis Configure Site Components – Software Update Point. Sélectionnez l’onglet Supersedence Rules :

3. Configurer le nettoyage intégré après la synchronisation

Depuis plusieurs versions de Configuration Manager Current Branch, il est maintenant possible d’exécuter un nettoyage de WSUS intégré après la synchronisation des mises à jour. Le mécanisme comporte de nombreux points faibles mais permet de faire un premier nettoyage. L’activation peut donc être bénéfique pour réaliser une maintenance récurrente.

Pour ce faire naviguez dans la console d’administration puis dans Administration – Site Configuration – Sites. Sélectionnez le site puis Configure Site Components – Software Update Point. Sélectionnez l’onglet Supersedence Rules. Cochez la case Run WSUS Cleanup after synchronization:

4. Lancer manuellement le nettoyage WSUS

Cette opération doit être réalisée sur l’ensemble des serveurs WSUS associé au site ou à la hiérarchie Configuration Manager.

Avant de réaliser cette opération, procédez à la sauvegarde de la base de données WSUS ainsi que la sauvegarde du site SCCM.

Une action préliminaire à ce nettoyage en profondeur peut être lancer manuellement l’assistant de nettoyage de WSUS. Pour ce faire, ouvrez la console d’administration de WSUS. Déroulez le nom du serveur WSUS puis Options. Sélectionnez Server Cleanup Wizard.

Sur l’assistant, cochez l’ensemble des cases et lancez l’opération de nettoyage :

5. Décliner les mises à jour remplacées

Cette opération doit être réalisée sur l’ensemble des serveurs WSUS associé au site ou à la hiérarchie Configuration Manager.

Avant de réaliser cette opération, procédez à la sauvegarde de la base de données WSUS ainsi que la sauvegarde du site SCCM.

Bien que Configuration Manager expire les mises à jour remplacées, un nombre important de mises à jour ont pu passer outre ce mécanisme. Pour cela, je vous recommande le script Decline-SupersededUpdates.ps1 que l’équipe Configuration Manager a fourni sur son blog.

Lancez PowerShell en tant qu’administrateur et naviguez où vous avez stocker le script. Exécutez la commande suivante :

.\Decline-SupersededUpdates.ps1 -UpdateServer <NomDuServer> -Port 8530 -ExclusionPeriod XX -SkipDecline

Le paramètre ExclusionPeriod permet de spécifier le nombre de jours depuis la date d’aujourd’hui. Si vous avez spécifié une période dans les règles de remplacement des mises à jour, vous devez réutiliser cette valeur (nombre de mois) et convertir en jours. Si vous expirez immédiatement les mises à jour remplacées, vous pouvez retirer ce paramètre.

Le paramètre SkipDecline permet de lancer la commande sans véritablement décliner les mises à jour. Un fichier CSV permet de revalider

Vous pouvez ajouter le paramètre -UseSSL si WSUS est configuré en mode SSL. Il vous faudra aussi changer le port avec 8531.

Par exemple :

.\Decline-SupersededUpdates.ps1 -UpdateServer WSUSSERVER -Port 8531 -ExclusionPeriod 60

Je vous recommande d’exécuter la commande avec le paramètre -SkipDecline afin de vérifier la liste des mises à jour dans le fichier CSV. Une fois validé, relancez la commande sans ce paramètre.

6. Décliner les mises à jour inutiles

Cette opération doit être réalisée sur l’ensemble des serveurs WSUS associé au site ou à la hiérarchie Configuration Manager. Commencez par le site le plus haut dans la hiérarchie puis descendez sur les serveurs WSUS des sites primaires et des sites secondaires.

Avant de réaliser cette opération, procédez à la sauvegarde de la base de données WSUS ainsi que la sauvegarde du site SCCM.

Maintenant que nous avons réalisé les opérations de nettoyage des mises à jour remplacées, nous pouvons réaliser une opération plus agressive de nettoyage des mises à jour inutiles. On peut par exemple penser :

• Aux mises à jour Itanium pour les produits Windows Server
• Aux mises à jour ARM64 pour Windows 10
• Aux mises à jour pour des produits inutilisés : Windows 2000, Windows XP, Windows 2003, etc. En effet certaines mises à jour ne sont jamais déclinées.
• Aux mises à niveau (Feature update) dans des langues, des architectures, des éditions (Team, Education, etc.) non présentes dans votre parc informatique.
• Aux mises à niveau Office 365 ProPlus qui ne seraient pas déployées (Targeted, First Release, Monthly Channel, etc.)
• Aux mises à jour Version Next de Windows 10 et Windows Server qui ont été proposées pour les versions préliminaires.
• Aux mises à jour s’appliquant à des versions Windows 10 qui ne sont pas présentes sur votre parc.
• Aux anciennes mises à jour Windows 7 qui pourraient être inclues dans les Cumulative Updates que vous déployez.
• Aux préversions (Preview) des mises à jour (Cumulatives, etc.)

La liste est non exhaustive et peut être enrichie avec d’autres cas selon vos usages.

Attention : Toutes mises à jour déclinées qui sont ensuite supprimées, ne peuvent plus être retrouvées. Il vous faudra réinstaller WSUS et recréer la base de données. Réfléchissez donc bien avant de décliner une mise à jour !!

Pour ce faire, vous devez ouvrir la console d’administration WSUS et naviguer dans Update Services - <NOMSERVER> - Updates – All Updates. Sur cette vue, vous devez sélectionner le mode Approval : Any Except Declined avec le Statut Any.

Vous retrouvez la liste des mises à jour non expirées. Vous retrouvez notamment le nombre total de mises à jour ayant un statut autre qu’expiré et le nombre total de mises à jour (incluant les mises à jour expirées).

Vous pouvez ensuite via la fonction recherche (Search…) pour rechercher les mises à jour via un mot clé. Par exemple, si vous savez que vous n’aurez jamais d’édition Education sur votre Parc ; vous pouvez alors décliner toutes les mises à niveau ciblant ces versions.

Faites une revue complète de toutes les mises à jour listées puis sélectionner-les et choisissez Decline :

Validez la fenêtre d’avertissement pour décliner les mises à jour. Vérifiez le nombre associé.

Une fois terminé, rafraichissez la vue pour voir le nombre de mises à jour non déclinées se réduire. Répétez l’opération pour toutes les mises à jour éligibles à votre contexte (ARM64, anciennes mises à jour Windows 2000, langues de mise à niveau non présentes dans votre parc etc.) selon la liste que j’ai détaillée plus haut. Par exemple si vous n’avez que des systèmes d’exploitation anglais et français, vous pouvez retirer toutes les mises à niveau des autres langues (Feature Update). Veillez à ne pas retirer des langues qui pourraient être introduites dans le futur. Vous devez aussi valider le type d’édition éventuelle sur votre parc (Consumer ou Business). Je ne saurais vous recommander que de garder les deux si des machines venaient à apparaître dans une édition consumer.

Notez toutes les mises à jour déclinées de manière à répéter l’opération sur l’ensemble des serveurs WSUS de votre hiérarchie. Les serveurs WSUS partageant la même base de données ne nécessite la réalisation de l’opération qu’une seule fois.

Pour les mises à jour Itanium (si vous avez activé des produits relatifs à Windows Server), vous pouvez utiliser le script suivant. Ce dernier déclinera automatiquement toutes les mises à jour en utilisant la commande : .\Decline-WsusItaniumUpdates.ps1 -WsusServer <NOMDUSERVER> -PortNumber 8530 -TrialRun $false

7. Supprimer les mises à jour déclinées

Cette opération doit être réalisée sur l’ensemble des serveurs WSUS associé au site ou à la hiérarchie Configuration Manager. Commencez par le site le plus haut dans la hiérarchie puis descendez sur les serveurs WSUS des sites primaires et des sites secondaires.

Avant de réaliser cette opération, procédez à la sauvegarde de la base de données WSUS ainsi que la sauvegarde du site SCCM.

Une fois le déclin des mises à jour réalisé, nous allons pouvoir physiquement supprimer les mises à jour déclinées de la base de données.

ATTENTION ! Cette opération est irréversible et supprimera définitivement la mise à jour sans avoir la possibilité de la réinjecter. Vous devez donc être sûr en revalidant les mises à jour déclinées avant de lancer cette suppression.

Pour cette opération, on retrouve deux scripts potentiels que je vous recommande d’exécuter. Le premier est script SQL et a été réalisé par Benjamin Reynolds (MSFT). Vous pouvez le retrouver sur le site de Steve Thompson (MVP). Il permet notamment d’ajouter un index permettant d’optimiser l’opération tout en supprimer une partie des mises à jour déclinées.

Si vous déployez les mises à jour de définition Windows Defender ou System Center Endpoint Protection, vous observerez un grand nombre de mises à jour de définition déclinées.

Vous avez deux cas :

• Soit la base de données est hébergée sur SQL Server (configuration préférable pour des raisons de maintenance)
• Soit la base de données utilise Windows Internal Database.

Dans le premier cas pour exécuter le script, ouvrez SQL Server Management Studio avec un compte utilisateur ayant les droits sur l’instance et sur la base de données WSUS (SUSDB). Chargez le script via un fichier tsql ou procédez à la création d’une requête (New Query) en copiant/collant le script tsql. Enfin, lancez l’exécution et laissez tourner. Vous pouvez observer l’avancement de la suppression et le nombre total de mises à jour à supprimer dans l’onglet Messages de la sous-partie de SQL Server Management Studio :

Dans le second cas (WID) pour exécuter le script, utiliser les outils en ligne de commande sqlcmd en pointant sur l’emplacement du script :

sqlcmd -S np:\\.\pipe\MSSQL$MICROSOFT##SSEE\sql\query –i <emplacement du script>\DeclineUpdates.sql

Pour vérifier qu’il ne reste pas de mises à jour à supprimer, ouvrez PowerShell en tant qu’administrateur et utiliser les cmdlets PowerShell suivantes :

$wsus = [Microsoft.UpdateServices.Administration.AdminProxy]::getUpdateServer()

[reflection.assembly]::LoadWithPartialName("Microsoft.UpdateServices.Administration") | Out-Null

$wsus.getupdates() | Where {$_.isdeclined -match 'true'} | ForEach-Object { $wsus.DeleteUpdate($_.Id.UpdateID); Write-Host $_.Title removed }

Notez toutes les mises à jour déclinées de manière à répéter l’opération sur l’ensemble des serveurs WSUS de votre hiérarchie. Les serveurs WSUS partageant la même base de données ne nécessite la réalisation de l’opération qu’une seule fois.

Cette opération réalisée, la taille du catalogue de mises à jour à considérablement baissée et la taille des métadonnées téléchargées par les clients aussi. Outre l’impact sur le réseau, cela allège les phases d’analyse du catalogue sur les clients.

8. Réindexer la base de données WSUS

Une fois les opérations de nettoyage terminées, je vous recommande de procéder à la ré-indexation de la base de données WSUS. Ceci peut être réalisé de différentes manières. On retrouve les célèbres scripts de maintenance d’Ola Hallengren mais vous pouvez aussi utiliser le script proposé par les ScriptingGuys. Le second est dédié à WSUS et peut être plus facile à utiliser.

Pour exécuter le script, ouvrez SQL Server Management Studio avec un compte utilisateur ayant les droits sur l’instance et sur la base de données WSUS (SUSDB). Chargez le script via un fichier tsql ou procédez à la création d’une requête (New Query) en copiant/collant le script tsql. Enfin, lancez l’exécution et laissez tourner. Vous pouvez observer l’avancement de la suppression et le nombre total de mises à jour à supprimer dans l’onglet Messages de la sous-partie de SQL Server Management Studio :

Même remarque si la base de données est hébergée via Windows Internal Database (WID), vous devez exécuter le script via la commande :

sqlcmd -S np:\\.\pipe\MSSQL$MICROSOFT##SSEE\sql\query –i <scriptLocation>\WsusDBMaintenance.sql

Ces scripts peuvent être exécuter de manière hebdomadaire afin d’assurer une indexation correcte de la base de données. Note la base de données WID n’ayant pas d’agent SQL Server, il vous faudra planifier l’exécution via une tâche planifiée par exemple.

I’ve updated for System Center Configuration Manager 1810 the Visio Stencils/Shapes (v1.4) that I’ve created for System Center 2012 R2 Configuration Manager. As a reminder, it is not official but based on some models seen in the Microsoft sessions. It is based on stencil that some people from the community had published for SCCM 2007. This new version includes the changes from CM 1810 and some others updates.

Version 1.4 changes include :

• Adding Primary Site Servers (HA Active/Passive)
• Adding CAS Site Servers (HA Active/Passive)
• Adding Data Warehouse Synchronization Point - CAS
• Adding Data Warehouse Synchronization Point - Primary Site
• Adding Azure Web Apps
• Adding Azure Native Apps
• Adding Desktop Analytics
• Adding Jamf Pro
• Adding Datalert
• Adding an Android Enterprise Device in addition to a Legacy Device
• Tagging System Health Validator Point as Deprecated as it cannot be installed for few releases now.

Download ConfigMgr (SCCM) 1810 Visio Stencils v1.4 from TechNet Gallery

Any feedbacks are appreciated.

This stencil is provided "AS IS" without express or implied warranty of any kind.

En français :
Je profite de plusieurs changements sur les versions précédentes afin de mettre à jour les gabarits (Stencils/Shapes) que j’avais créé. La mise à jour couvre les nouvelles fonctionnalités et la mise à jour de certaines formes. Pour rappel, il n’est pas officiel mais se base sur certains modèles aperçus dans les sessions Microsoft. Il se base sur le stencil qu’avait publié la communauté pour SCCM 2007.

Parmi les changements, on retrouve :

• Ajout de serveurs de site primaire (HA actif/passif)
• Ajout de serveurs de site CAS (HA actif/passif)
• Ajout d'un Data Warehouse Synchronization Point - CAS
• Ajout d'un Data Warehouse Synchronization Point - Primary Site
• Ajout d’Azure Web Apps
• Ajout d’Azure Native Apps
• Ajout de Desktop Analytics
• Ajout de Jamf Pro
• Ajout de Datalert
• Ajout d'un périphérique Android Enterprise en plus d'un périphérique Android hérité
• Marquage System Health Validator Point comme obsolète car il ne peut pas être installé depuis quelques versions maintenant.