Depuis System Center Configuration Manager 1806, un nouveau prérequis tagué en avertissement et n’étant pas totalement bloquant pour la mise à niveau est apparu. Ce prérequis concerne la version de la dépendance SQL Server Native Client. Ce prérequis doit être mise à jour pour permettre notamment la prise en charge de TLS 1.2.

Vous devez alors télécharger Microsoft SQL Server 2012 Native Client (ou directement ici) et remplacer la version actuellement installée sur votre système.

Lancez l’installation. L’installeur vous signale qu’une version précédente est présente et qu’elle doit être mise à jour :

Suivez ensuite les différentes étapes de l’installeur :

Une fois installé, vous pouvez relancer le vérificateur de prérequis depuis la console pour valider que ce prérequis est correctement corrigé :

C’est un problème qui peut être rencontré lors de la mise à niveau d’une infrastructure System Center Configuration Manager vers la version 1810. Cela fait le second client avec qui nous rencontrons ce problème, c’est pourquoi je vous propose ce billet. Après la mise à niveau, il se peut que le PXE de votre point de distribution ne fonctionne plus. Ce problème touche les clients qui auraient utilisé la première version (first wave) de Configuration Manager 1810.

En regardant le point de distribution, on peut observer que le rôle Windows Deployment Services (WDS) n’est plus présent :

En allant voir, la vue v_DistributionPointInfo dans la base de données, on peut observer que :

• Le flag IsPXE est à 0
• Le flag RemoveWDS est à 1

Pour résoudre le problème, vous devez décocher la case PXE sur le point de distribution, appliquer les paramètres et attendre un cycle de Site Component. Vous pouvez ensuite réactiver le PXE pour que l’installation de WDS soit ré initiée.

A chaque nouvelle version de Windows 10, Microsoft ajoute ou supprime des applications universelles en fonction de sa stratégie. On retrouve deux types d’applications :

• Les applications système: Celles-ci ne peuvent être modifiées/supprimées du système.
• Les applications provisionnées (Solitaire, StickyNote, OneNote, etc.) qui pour la plupart peuvent être retirées du système afin qu’elles ne soient pas réinstallées à chaque création de profil utilisateurs.
• Les applications Windows installées (Power BI, Pandora, etc.) qui peuvent être présentes en fonction de l’édition utilisées ou téléchargées automatiquement à l’ouverture de session. Ces applications peuvent aussi être supprimées.

Les entreprises ont l’habitude de filtrer et adapter la liste des applications à leurs besoins via des cmdlets PowerShell (Remove-AppXProvisionedPackage) ou des scripts.

L’article proposé par Microsoft résume les applications, le nom du package, les versions où elles sont présentes et s’il est possible de les désinstaller par l’interface. Cette page est un bon moyen d’adapter ses stratégies de déploiement de système d’exploitation (OSD) lors de la sortie d’une nouvelle version.

Lire : Understand the different apps included in Windows 10

Lorsque vous utilisez la fonctionnalité de gestion des mises à jour logicielles de System Center Configuration Manager, vous pouvez rencontrer une erreur lors du téléchargement des mises à jour ou des mises à niveau. Ceci est particulièrement vrai si vous télécharger des mises à jour de type Unified Updates Platform (UUP). Néanmoins, vous pouvez tout de même rencontrer ce problème avec des mises à jour classiques.

Le problème peut survenir que vous téléchargiez les mises à jour manuellement via l’assistant ou avec une règle de déploiement automatique.

Le fichier Patchdownloader.log affiche les erreurs suivantes :

Checking machine config

Cert revocation check is disabled so cert revocation list will not be checked. To enable cert revocation check use: UpdDwnldCfg.exe /checkrevocation

Verifying file trust C:\Users\JSDUCH~1.WIN\AppData\Local\Temp\CAB5042.tmp

File trust C:\Users\JSDUCH~1.WIN\AppData\Local\Temp\CAB5042.tmp verified:

Verifying file hash C:\Users\JSDUCH~1.WIN\AppData\Local\Temp\CAB5042.tmp

File hash verified: C:\Users\JSDUCH~1.WIN\AppData\Local\Temp\CAB5042.tmp

Failed to move C:\Users\JSDUCH~1.WIN\AppData\Local\Temp\CAB5042.tmp to \\WT-CM-PR1\ContentSources\Software Updates\SUP-Windows10-1803-Upgrade-UUP\acaef162-aec3-4f1f-9f7b-b31718b4c089.1\0C0449C21CB61182BD54FE6400F6AF42847A388F_Microsoft-Windows-LanguageFeatures-Fonts-PanEuropeanSupplementalFonts-Package~31bf3856ad364e35~amd64~~.cab, error 3

Will retry in 5000ms

Failed to move C:\Users\JSDUCH~1.WIN\AppData\Local\Temp\CAB5042.tmp to \\WT-CM-PR1\ContentSources\Software Updates\SUP-Windows10-1803-Upgrade-UUP\acaef162-aec3-4f1f-9f7b-b31718b4c089.1\0C0449C21CB61182BD54FE6400F6AF42847A388F_Microsoft-Windows-LanguageFeatures-Fonts-PanEuropeanSupplementalFonts-Package~31bf3856ad364e35~amd64~~.cab, error 3

Will retry in 5000ms

Failed to move C:\Users\JSDUCH~1.WIN\AppData\Local\Temp\CAB5042.tmp to \\WT-CM-PR1\ContentSources\Software Updates\SUP-Windows10-1803-Upgrade-UUP\acaef162-aec3-4f1f-9f7b-b31718b4c089.1\0C0449C21CB61182BD54FE6400F6AF42847A388F_Microsoft-Windows-LanguageFeatures-Fonts-PanEuropeanSupplementalFonts-Package~31bf3856ad364e35~amd64~~.cab, error 3

ERROR: DownloadContentFiles() failed with hr=0x80070003

En regardant de plus près, je vois la longueur du nom de fichier et j’essaye donc de récupérer le fichier tmp dans le dossier source puis de le renommer et le copier vers mon répertoire de source cible. La copie remonte que l’opération engendre un chemin trop long :

Vous devez donc modifier et réduire la taille de votre répertoire source. Dans mon cas, voici le nom du répertoire avant : \\WT-CM-PR1\ContentSources\Software Updates\SUP-Windows10-1803-Upgrade-UUP

L'erreur est plus susceptible d'arriver avec les mises à jour UUP car les binaires qui les en constituent ont des noms particulièrement long (par exemple acaef162-aec3-4f1f-9f7b-b31718b4c089.1\0C0449C21CB61182BD54FE6400F6AF42847A388F_Microsoft-Windows-LanguageFeatures-Fonts-PanEuropeanSupplementalFonts-Package~31bf3856ad364e35~amd64~~.cab)

L’ensemble du chemin et du nom de fichier ne doit pas dépasser 260 caractères.

J’étais passé à côté de ce correctif (KB4465865) à destination de System Center Configuration Manager 1806 mais qui a toute son importance ! Ce dernier corrige plusieurs problèmes avec les mises à jour logicielles lors de l’utilisation des fichiers Express Updates. Le correctif est disponible directement dans la console depuis mi-octobre et je vous recommande sincèrement de l’appliquer.

Problème 1 : Les mises à jour logicielles peuvent ne pas être téléchargées.

Ceci survient dans le scénario suivant :

• Après la mise à jour vers ConfigMgr 1806,
• Ceci se produit dans les environnements qui utilisent Windows Server Update Services (WSUS) sur un réseau déconnecté.

Ce changement a été introduit dans la version 1806 puisqu’elle recherche toujours les fichiers CAB d'installation express qui, par défaut, ne sont pas présents dans un scénario WSUS déconnecté.

Une tentative de téléchargement a lieu pour toute mise à jour du logiciel (y compris les mises à jour non Windows 10) qui contient des fichiers d'installation express. La tentative de téléchargement se produit également si le support des Express Updates n'est pas activé.

Le fichier Patchdownloader.log affiche des messages comme suit :

Downloading content for ContentID = <ContentID>, FileName = <Filename-EXPRESS.cab>
Download \\<server>\WsusContent\<Filename-EXPRESS.cab> to <Temporary Files>\CABA83C.tmp returns 2
Download \\<server>\WsusContent\<Filename-EXPRESS_hash.cab> to <Temporary Files>\CABA83D.tmp returns 2
Download \\<server>\WsusContent\WsusContent\C1\<hash.cab> to <Temporary Files>\CABA83E.tmp returns 3
Download \\<server>\WsusContent\C1\<hash.cab> to <Temporary Files>\CABA84F.tmp returns 2
ERROR: DownloadContentFiles() failed with hr=0x80070002

Problème 2 :  Quand vous migrez à partir ou vers ConfigMgr 1806, la migration des packages de contenu pour les mises à jour qui prennent en charge les Express Updates échoue ou peut ne pas contenir toutes les mises à jour.

Ce problème se produit dans les hiérarchies qui n'ont pas activé l'option suivante dans l'onglet "Update files" des propriétés de Software Update Point : Download both full files for all approved updates and express installation files for Windows 10

Problème 3 : Pour les mises à jour logicielles qui contiennent des Express Updates, Configuration Manager synchronise le fichier Express.cab et le distribue au client. Ce comportement se produit même si le client n'a pas besoin du fichier Express.cab pour un déploiement donné.

L'installation du correctif interrompt les tentatives de téléchargement inconditionnel des fichiers CAB express pour les nouvelles mises à jour. Une fois le correctif installé, le téléchargement n'aura lieu que si la prise en charge du fichier d'installation express est activée pour les mises à jour Windows 10.

Microsoft a réalisé un changement sur le comportement du téléchargement des applications sur des périphériques Windows 10 gérés de manière moderne avec Microsoft Intune. Les clients avaient l’habitude de tomber en timeout après 10 minutes de téléchargement. Ce timeout a été augmenté à 12 heures pour permettre de prendre en compte de larges applications qui pourraient faire jusqu’à 8GB (la limite actuelle)

Il y a quelques mois, je vous annonçais que Microsoft publiait le module PowerShell pour Microsoft Intune sur GitHub. Aujourd’hui, Microsoft publie ce module directement sur Microsoft PowerShell Gallery. Ce module utilise directement l’API Microsoft Graph pour administrer Intune.

Pour l’installer, vous pouvez directement utiliser la commande :

Install-Module -Name Microsoft.Graph.Intune

Vous pouvez retrouver des exemples d’usages.

Accéder au module sur la galerie PowerShell

Aujourd’hui, je souhaitais partager une considération lors de l’implémentation d’Azure Information Protection dans votre entreprise. Pour rappel, Azure Information Protection permet de classifier et labéliser la donnée au moment de la création en fonction de différentes étiquettes et catégories. L’administrateur peut ensuite appliquer des stratégies de protection embarquée dans la donnée en fonction de la classification appliquée. Ce service est issu du rachat de Secure Islands et du retravaille d’Azure Rights Management (RMS).

Parmi les questions que l’on a lors des phases d’Avant-Vente sur ce genre de solutions ainsi que pour le Cloud, c’est : Est-ce que l’on peut faire un retour arrière ?

La réponse est oui puisque les super utilisateurs (super user) peuvent déchiffrer tous les fichiers de l’entreprise. Vous pouvez aussi utiliser les cmdlets PowerShell via Unprotect-RMSFile

Plus globalement, je pense que le point d’attention n’est pas nécessairement sur la sortie de la solution mais sur les éventuels scénarios qui pourraient survenir lors de la vie de l’entreprise. On peut par exemple penser aux rachats, fusions, etc. Ou tout simplement à un changement de tenant Azure Active Directory.

Il est possible d’exporter la clé de chiffrement d’un tenant et l’importer sur un nouveau tenant mais ceci ne peut pas être réalisé avec la clé par défaut.

Dans ce cas de figure, il faut peut-être penser à ces aspects en avance de phase lors de l’implémentation pour éviter à devoir déchiffrer entièrement le contenu pour le rechiffrer. On retrouve plusieurs capacités :

• Se donner la possibilité d’exporter une clé de chiffrement afin de la déplacer entre tenants. Pour cela vous pouvez :
  • Utiliser votre propre clé via le principe de Bring Your Own Key (BYOK).
  • Créer une clé dans l’Azure Key Vault (sans BYOK) et suivre la procédure BYOK avec cette clé.

Lors de la migration, vous devez exporter la clé puis supprimer la clé du tenant original et enfin importer la clé sur le nouveau tenant. Vous devez aussi recréer les modèles, les utilisateurs, etc. Bien entendu, je ne peux que conseiller de valider la procédure sur un tenant de tests pour s’assurer qu’il n’y a pas d’effets de bord.

• Utiliser Active Directory Rights Management Services (AD RMS) comme source de clés.
  • Déployer AD RMS avec le type de clé voulu
  • Exporter la clé et les modèles vers Azure RMS en utilisant le guide Azure RMS Migration
  • Répéter l’opération sur l’éventuel nouveau tenant.

Personnellement, je préfèrerais le scénario 1.

Bien entendu, il existe d’autres considérations sur les étiquettes/labels, etc.

Microsoft vient de mettre à disposition la Technical Preview 1902 (5.0.8782.1000) de System Center Configuration Manager. Pour rappel, ConfigMgr a subi une refonte de sa structure pour permettre des mises à jour aisées de la même façon que l’on peut le voir avec Windows 10. Si vous souhaitez installer cette Technical Preview, vous devez installer la Technical Preview 1804 puis utiliser la fonctionnalité Updates and Servicing (nom de code Easy Setup).

System Center Configuration Manager TP 1902 comprend les nouveautés suivantes :

Administration

• Microsoft permet de remplacer les notifications (ou toast) du client pour un déploiement requis ou un redémarrage par des fenêtres plus intrusives (non personnalisables). Vous pouvez configurer cette option en déployant une application/de mise à jour ou de séquences de tâches comme requise puis sur la page User Experience, vous devez sélectionner Display in Software Center and show all notifications avec l’option When software changes are required, show a dialog window to the user instead of a toast notification. L’autre option permet de le faire plus globalement depuis les paramétrages du client.

• C’est une problématique fréquemment abordée par les utilisateurs du HelpDesk lors de l’utilisation de l’outil Remote Control avec plusieurs écrans. Ce dernier permet maintenant de choisir entre voir tous les écrans ou uniquement le premier écran (situé en haut à gauche des paramètres d’affichage de Windows). Il n’est pas possible de choisir un écran spécifique.
• Vous pouvez maintenant modifier ou copier un script PowerShell existant utilisé avec la fonction Run Scripts. Au lieu de recréer un script que vous devez modifier, éditez-le directement. Lorsque vous modifiez ou copiez un script, ConfigMgr ne maintient pas l'état d'approbation. Il n’est pas recommandé de modifiez un script qui s'exécute activement sur des clients. Ils ne finiront pas d'exécuter le script original, et vous n'obtiendrez peut-être pas les résultats attendus de ces clients.
• Vous pouvez maintenant Cloud Management Gateway (CMG) à un groupe de limites. Cette configuration permet aux clients de communiquer avec la CMG par défaut ou de basculer en fonction des relations entre les groupes de limites. Ce comportement est utile dans les scénarios de sites distants et de VPN. Vous pouvez détourner le trafic client des liens WAN lents et coûteux pour utiliser des services plus rapides dans Microsoft Azure.
• De nouvelles améliorations au Software Center permettant de :
  • Définir la mise en page par défaut des applications, soit sous forme de tuiles, soit sous forme de liste. Si un utilisateur modifie cette configuration, la configuration du Software Center persiste dans les préférences de l'utilisateur à l'avenir.
  • Configurer le filtre d'application par défaut, soit toutes les applications, soit uniquement les applications requises. Le Software Center utilise toujours vos paramètres par défaut. Les utilisateurs peuvent changer ce filtre, mais le Software Center ne persiste pas le choix de l’utilisateur.
  • Utiliser une nouvelle interface pour configurer la visibilité des onglets

• Amélioration du tableau de bord sur l’état de santé du client (Client Health Dashboard) :
  • Amélioration et rationalisation de la mise en page
  • Possibilité de cliquer sur les tuiles pour accéder aux listes des périphériques
  • Modifications visant à améliorer le rendement pour de gros environnements

Déploiement de système d’exploitation

• La barre de progression des séquences de tâches de mises à niveau de Windows 10 affiche plus de détails avec l’état d’avancement du Setup (Installeur) de Windows.

Gestion de conformité et des paramétrages

• Configuration Manager permet de déplacer les dossiers Windows connus (Bureau, Documents, etc.) vers OneDrive for Business. Cette fonctionnalité intégrée à Windows est apparue dans la version 1809. Elle est configurable par GPO et dorénavant par SCCM. Ceci permet de simplifier l’accompagnement utilisateur et le scénario de mise à niveau vers Windows 10 pour ne plus avoir à gérer la récupération des données utilisateurs.
  Note : Un bug dans cette Technical Preview engendre un crash de la console. Une fois la stratégie créée, il est recommandé de réaliser le déploiement ou la suppression via des cmdlets PowerShell.

Plus d’informations sur : https://docs.microsoft.com/en-us/sccm/core/get-started/2019/technical-preview-1902

Microsoft et Adobe se sont associés pour permettre l’intégration du framework Microsoft Information Protection afin de protéger les documents PDF avec Azure Information Protection. On voit apparaître certaines demandes où les labels (étiquettes) n’apparaissent pas dans Adobe Reader après l’installation du plugin.

En outre, vous devez configurer la valeur de registre (DWORD) bShowDMB à 1 dans : Computer\HKEY_CURRENT_USER\Software\Adobe\Acrobat Reader\DC\MicrosoftAIP

Notez que la clé MicrosoftAIP ne doit pas être créée à la main. Cette dernière est créée automatiquement lors de l’ouverture d’un document PDF protégé (PPDF)

Outre ce prérequis, il est nécessaire que les labels/étiquettes apparaissent dans le centre de Sécurité et Conformité (Security and Compliance Center). Si les labels sont visibles et publiés par une stratégie d’étiquette (label policy) depuis le portail SCC, alors l’intégration d’Adobe Reader fonctionnera. Ceci fait appel à la fonctionnalité d’Unified Labeling qui est toujours en Preview. La migration des labels entre AIP et Office 365 SCC peut ne pas être disponible sur votre tenant.

Pour implémenter l’intégration d’AIP et Adobe, vous pouvez suivre le lien : https://aka.ms/AdobeMIPGA

Microsoft a publié dans le Message Center à propos d’un changement qui va survenir pour l’enregistrement des périphériques iOS 12. Ce changement a été annoncé par Apple et concerne tous les services MDM tels que Microsoft Intune. Avec les versions d’iOS 12 qui seront publiées au printemps, l’utilisateur devra changer les étapes d’enregistrement de son périphérique :

• Téléchargement du portail d’entreprise
• Lancement du processus d’enregistrement dans le portail d’entreprise et téléchargement du profil d’administration.
• L’utilisateur doit aller dans Settings > General > Profiles puis sélectionner le profil correct et sélectionner Install.
• Retourner sur le portail d’entreprise pour finaliser l’enregistrement.

Les périphériques qui sont déjà enregistrés et mis à jour vers cette nouvelle version d’iOS ne seront pas affectés à part si le périphérique est désenregistré et procède à un nouvel enregistrement.

Vous devez donc mettre à jour vos documentations à destination des utilisateurs mais aussi informer correctement votre help desk.

Plus d’informations sur : https://aka.ms/iOS_enrollment_changes

Microsoft a publié dans le Message Center à propos d’un changement qui va survenir dans la mise à jour de Février 2019 de Microsoft Intune. Le paramétrage ‘Enabling restrictions in the device settings’ pour les périphériques supervisés iOS est renommé en ‘Screen Time (supervised only)’

Il faut surtout noter que le comportement côté utilisateur final va changer en fonction de la version d’iOS :

• Pour les périphériques iOS 11.4 et antérieur : Le paramétrage peut être utilisé pour empêcher les utilisateurs de modifier les restrictions de périphériques comme auparavant. Dans ce cas, il n’y a pas de changement de comportement.
• Pour les périphériques iOS 12 et plus, les utilisateurs ne pourront plus voir l’onglet Restrictions tab sous Settings > General > Device Management > Management Profile > Restrictions. En lieu et place ceci sera présent dans Settings > General > Screen Time.

La configuration du paramétre Screen Time (Supervised Only) à Block, bloquera les utilisateurs sur le changement des paramétrages Temps d’écran, ce qui inclut le contenu et les restrictions de vie privée.

Un client a fait face à une problématique assez intéressante avec Windows 10. Lors du déploiement du poste de travail lors de la phase OOBE et de premier démarrage, le poste reste bloqué sur Please Wait/Veuillez Patienter indéfiniement. L’arrêt et le redémarrage du poste permet de résoudre le problème.

Ce problème est lié à l’utilisation de la GPO de Groupes Restreints (Restricted Groups) pour configurer le groupe des administrateurs Locaux. Si vous utilisez ce paramètre, vous devez ajouter le compte utilisateur defaultuser0 au BUILTIN\Administrators.

Microsoft vient de publier une nouvelle version du pack d’administration ou Management Pack (MP) pour le rôle DNS Server en version 10.0.9.2. Il supporte uniquement le rôle DNS sur Windows Server 2016. Il supporte aussi la configuration avec Nano Server. Pour rappel, System Center Operations Manager (SCOM) fait partie de la gamme System Center, il propose une supervision souple et évolutive de l’exploitation au niveau de toute l’entreprise, réduisant la complexité liée à l’administration d’un environnement informatique, et diminuant ainsi le coût d’exploitation. Ce logiciel permet une gestion complète des événements, des contrôles proactifs et des alertes, et assure une gestion des services de bout en bout. Il établit des analyses de tendance et des rapports, et contient une base de connaissances sur les applications et le système.

Il apporte les éléments suivants :

• Correction d'un bug : Problème avec la découverte des zones DNS pour un grand nombre de zones.
• Correction d'un bug: Problème avec la découverte de zones stub.
• Correction d'un bug: Fausses alertes pour "DNS unused Zone Detected".
• Support de Windows Server 1709+.
• ebranding des chaînes d'affichage et des articles de la base de connaissances en fonction des versions prises en charge des systèmes d'exploitation : Microsoft Windows Server 2016 et 1709+.

Lisez le guide d’implémentation et n’oubliez pas de créer un Management Pack non scellé dédié.

Télécharger Microsoft System Center Management Pack for DNS 2016

Microsoft vient de publier le SDK 1.1 de Microsoft Information Protection (MIP). Pour rappel, Microsoft Information Protection est l’extension d’Azure Information Protection pour permettre de l’intégrer à des applications tierces ou développées en interne. Cette version apporte le support :

• iOS (Policy API uniquement)
• Android (Policy API et Protection API)

Microsoft a aussi amélioré la performance et la fiabilité.

Plus d’informations sur les nouveautés.

Télécharger le SDK sur ce site ou via NuGet (Microsoft.InformationProtection.*)

Microsoft vient de lancer globalement le programme Desktop App Assure annoncé à l’occasion de Microsoft Ignite. Ce programme gratuit pour toutes les entreprises ayant acheté Windows Enterprise, permet d’obtenir une assistance de la part de Microsoft pour adresser les problèmes de compatibilité applicative avec Windows 10 et Office 365 ProPlus. Ce programme se fait au travers de FastTrack pour permettre d’aider les clients dans la transition vers Windows 10. Les scénarios suivants peuvent être envisagés :

• Application (ou Plugin Office) acheté : Dialogue et mise en relation avec l’éditeur afin de le convaincre et l’aider dans la démarche de mise en compatibilité
• Application Métier (ou Plugin Office) développée en interne : Evaluation du travail de mise en compatibilité et échange pour réaliser les développements nécessaires.

Plus d’informations sur : https://www.microsoft.com/en-us/fasttrack/microsoft-365/desktop-app-assure  

Microsoft vient de publier la version 8456 de Microsoft Deployment Toolkit (MDT). MDT est un accélérateur de solutions gratuit permettant d’optimiser le déploiement de systèmes d’exploitation.

Cette version apporte les nouveautés et changements suivants :

• Support de Windows 10 1809
• Support de Windows ADK pour Windows 10 1809 et Windows Server 2019
• Mise à jour des binaires SCCM avec 1810
• Support des séquences de tâches imbriquées pour le scénario Lite-Touch
• Support de System Center Configuration Manager 1810. Notez que cette version spécifique ou ultérieure de ConfigMgr est nécessaire pour les scénarios zero-touch installation (ZTI) et user-driven installation (UDI).
• Support des Local Experience Packs (LXPs) modernes

Voici les correctifs inclus :

• La variable IsVM est évaluée à False sur les machines virtuelles Parallels
• La variable IsVM est évaluée à False lorsque les machines virtuelles VMware sont configurées avec le firmware de démarrage EFI
• Gather ne reconnaît pas le type de châssis All in One
• MDT n'installe pas automatiquement BitLocker sur Windows Server 2016
• Typo BDEDisablePreProvisioning dans ZTIGather.xml.

Il existe un problème connu. A partir de Windows 10 1809, les Language Interface Packs (LIP) sont livrés sous forme de fichiers.appx LXP (Local Experience Packs). Ces LXPs ne sont pas automatiquement sélectionnés lorsqu'ils sont spécifiés dans le fichier unattend.xml et le déploiement échoue.

Plus d’informations sur : https://blogs.technet.microsoft.com/mniehaus/2019/01/26/new-version-of-the-microsoft-deployment-toolkit-released/

Télécharger Microsoft Deployment Toolkit

Microsoft vient de publier le Management Pack pour SharePoint 2019 en version 16.0.11308.30000. Pour rappel, System Center Operations Manager (SCOM) fait partie de la gamme System Center, il propose une supervision souple et évolutive de l’exploitation au niveau de toute l’entreprise, réduisant la complexité liée à l’administration d’un environnement informatique, et diminuant ainsi le coût d’exploitation. Ce logiciel permet une gestion complète des événements, des contrôles proactifs et des alertes, et assure une gestion des services de bout en bout. Il établit des analyses de tendance et des rapports, et contient une base de connaissances sur les applications et le système.

On retrouve la supervision des éléments suivants :

• Supervision des services SharePoint 2019 (Timer, Tracing, et Search)
• Supervision des événements SharePoint 2019
• Supervision des événements IIS relatifs à l'application SharePoint uniquement
• Supervision des événements de la base de données SQL relatifs à l'application SharePoint.
• Supervision des performances et préviens les utilisateurs quand des problèmes de performance sont détectés
• Transfert les utilisateurs vers les articles TechNet

Télécharger System Center Management Pack for SharePoint Server 2019

Microsoft revoit en profondeur son programme de certifications avec une longue série de nouvelles certifications. Microsoft vient d’annoncer l’arrivée de nouvelles certifications pour Microsoft 365 sur le thème de la messagerie et des communications unifiées :

• MS-200: Planning and Configuring a Messaging Platform
• MS 201: Implementing a Hybrid and Secure Messaging Platform

Ces certifications permettent d’obtenir le nouveau statut : Microsoft 365 Certified: Messaging Administrator Associate

La certification MS-202: Microsoft 365 Messaging Administrator Certification Transition permet de faire de transition à partir de la 70-345 Designing and Deploying Microsoft Exchange Server 2016.

Voici les différents éléments évalués en détail :

MS-200: Planning and Configuring a Messaging Platform

• Gérer une infrastructure de messagerie moderne (40-45%)
  • Gérer les bases de données
  • Gérer les groupes de disponibilité de bases de données (DAGs)
  • Gérer et implémenter les accès clients
  • Gérer la restauration en cas de désastre
  • Gérer le cycle de vie de l’infrastructure de messagerie
• Gérer la topologie de flux Email (35-40%)
  • Planifier le pipeline de transport
  • Gérer les connecteurs
  • Gérer les flux Email
  • Dépanner les problèmes de flux d’emails
• Gérer les destinataires et les périphériques (15-20%)
  • Gérer les ressources destinataires
  • Gérer les périphériques mobiles

MS 201: Implementing a Hybrid and Secure Messaging Platform

• Planifier et implémenter une configuration et migration hybride (35-40%)
  • Planifier un environnement hybride
  • Déployer un environnement hybride
  • Planifier et Implémenter une migration
  • Gérer les dossiers publics
• Sécuriser l’environnement de messagerie (40-45%)
  • Gérer les permissions basées sur des rôles
  • Gérer l’hygiène des messages
  • Gérer Advanced Threat Protection (ATP) pour la messagerie
  • Gérer la conformité
• Gérer les paramétrages de l’entreprise (15-20%)
  • Gérer les paramétrages d’organisation
  • Planifier les listes d’adresses

Des codes de passage sont disponibles pour les 300 premiers afin de recevoir une réduction de 80%. :

• MS-200 : MS200PjM
• MS-201 : MS201Best
• MS-202 : 202MSis

Les certifications doivent être passées avant le 1^er Mars 2019. 

Source : https://www.microsoft.com/en-us/learning/community-blog-post.aspx?BlogId=8&Id=375196

Microsoft vient d’annoncer la mise à disposition d’un nouvel ensemble de fonctionnalités pour Microsoft Intune.

Les fonctionnalités suivantes sont ajoutées :

Gestion du périphérique

• [Android] Preview du support d’Android corporate-owned fully managed ou anciennement Corporate Owned, Business Only (COBO). La Preview focalise sur l’enregistrement du périphérique, la configuration et les scénarios de déploiement d’applications :
  • Enregistrement du périphérique via NFC, Token, QR Code et Zero Touch
  • Configuration du périphérique pour les groupes d’utilisateurs
  • Distribution et configuration des applications pour les groupes d’utilisateurs

La preview ne couvre pas encore l’accès conditionnel, la conformité du périphérique, les stratégies de protection applicative, le ciblage sur des groupes de périphériques, la gestion des certificats, l’enregistrement KNOX Mobile, etc.

• [Windows 10] Support de l’effacement sélectif pour les périphériques utilisant Windows Information Protection sans enregistrement. Windows Information Protection Without Enrollement (WIP-WE) permet aux entreprises de protéger la donnée d’entreprise sur des postes Windows 10 sans nécessiter l’enregistrement complet du périphérique dans la solution de MDM. L’administrateur peut ensuite rendre les données illisibles depuis Mobile App > App Selective Wipe.

Configuration du périphérique

• [Windows 10] Le profil de configuration en mode Kiosk de Windows 10 est maintenant en version finale.

• [Windows 10] Microsoft introduit les Security Baselines en Public Preview. Ceci permet d’intégrer les paramétrages recommandés par Microsoft (Security Basellines) que nous connaissons déjà et qui permettent notamment d’appliquer les GPOs recommandées. Dans le cas d’Intune, un administrateur peut créer des stratégies de sécurité directement à partir de ces baselines, puis les déployer auprès de leurs utilisateurs. Vous pouvez également personnaliser les recommandations de bonnes pratiques pour répondre aux besoins de l’entreprise. Intune s'assure que les périphériques restent conformes à ces lignes de base et avertit les administrateurs des utilisateurs ou des périphériques qui ne sont pas conformes.

• [Windows 10] Les utilisateurs non-administrateurs peuvent maintenant activer BitLocker sur des périphériques Windows 10 joints à Azure AD. Ceci peut se faire en naviguant dans Device configuration > Profiles > Create profile > Windows 10 and later comme plateforme > Endpoint protection comme type de profil > Windows Encryption.

• [Windows 10] Cette mise à jour inclut un nouveau paramètre de conformité System Center Configuration Manager (Device compliance > Policies > Create policy > Windows 10 and later > Configuration Manager Compliance). Configuration Manager envoie des informations de conformité à Intune. En utilisant ce paramètre, vous pouvez exiger que toutes les informations de Configuration Manager retournent "compliant". Par exemple, vous souhaitez que toutes les mises à jour logicielles soient installées sur les périphériques. Dans ConfigMgr, cette exigence a l'état "Installé". Si l'un des éléments du périphérique se trouve dans un état inconnu, alors le périphérique n'est pas conforme à Intune.

• [iOS] Vous pouvez maintenant personnaliser le fond d'écran sur les périphériques iOS supervisés. Pour ce faire, vous devez naviguer dans Device configuration > Profiles > Create profile > iOS pour plateforme > Device features pour le type de périphérique. L’administrateur peut ensuite spécifier un fichier .png, .jpg ou .jpeg à utiliser pour l’écran d’accueil ou l’écran de verrouillage.

• [Android Enterprise] Suppression du paramétrage Content Sharing via Bluetooth dans Device Restrictions > Device Owner > General. En effet, cette configuration n’est pas supportée par le mode Android Enterprise Device Owner. Même si vous aviez activé, ce paramétrage celui-ci ne fonctionnait pas. Ainsi son retrait n’affectera pas les périphériques et les tenants existants.

Gestion des applications

• [Windows 10] Vous pouvez supprimer l’affichage des notifications (toast) à destination des utilisateurs pour l’assignement d’applications. Cela peut se faire via Intune > Client Apps > Apps > <En sélectionnant l’application> > Assigments > Include Groups. Vous pouvez afficher toutes les notifications, uniquement celles pour le redémarrage, ou tout cacher.

• [iOS/Android] Microsoft a changé les étiquettes des paramètres et des boutons pour la protection des applications Intune afin de les rendre plus faciles à comprendre. Quelques-uns des changements incluent :
  • Les contrôles sont changés de yes / no à principalement block / **allow ** et désactivent / activent les contrôles. Les étiquettes sont également mises à jour.
  • Les réglages sont reformatés, de sorte que le réglage et son étiquette sont côte à côte dans le contrôle, pour une meilleure navigation.

Ceci ne change pas le comportement du paramétrage ou sa configuration pour les stratégies existantes.

• [iOS/Android] Vous pouvez maintenant configurer des paramètres supplémentaires pour Outlook pour iOS et Android. Les réglages comprennent les éléments suivants :
  • Autoriser uniquement des comptes d’entreprise ou d’école pour Outlook sur iOS et Android
  • Utiliser SAMAccountName pour le champ du nom d'utilisateur dans le profil de messagerie lorsque l'authentification de base est sélectionnée
  • Autoriser l'enregistrement des contacts
  • Configurer les destinataires externes MailTips
  • Configurer la Focused Inbox
  • Exiger la biométrie pour accéder à Outlook pour iOS
  • Bloquer les images externes

• [Android] Dans un scénario de déploiement APP-WE (App Protection Policy Without Enrollment) non enregistré, vous pouvez désormais utiliser Google Play pour déployer des applications du Store et des applications métiers aux utilisateurs. Plus précisément, vous pouvez fournir aux utilisateurs finaux un catalogue d'applications et une expérience d'installation qui n'exige plus des utilisateurs finaux qu'ils change les paramétrages de sécurité de leurs périphériques en autorisant des installations de sources inconnues.

• [Android Enterprise] Vous pouvez supprimer les applications Google Play gérées de Microsoft Intune. Pour supprimer une application Google Play gérée, ouvrez Microsoft Intune et sélectionnez Client Apps > Apps. Dans la liste des applications, sélectionnez les (...) à droite de l'application Google Play gérée, puis sélectionnez Delete. Lorsque vous supprimez une application Google Play gérée de la liste des applications, l'application Google Play gérée est automatiquement désapprouvée.

• [Android Enterprise] Le type d'application Managed Google Play vous permettra d'ajouter spécifiquement des applications Google Play gérées à Intune. Vous pouvez désormais parcourir, rechercher, approuver, synchroniser et attribuer des applications Google Play gérées approuvées dans Intune. Vous n'avez plus besoin de naviguer sur la console Google Play gérée séparément et vous n'avez plus besoin de vous authentifier à nouveau. Dans Intune, sélectionnez Client apps > Apps > Add. Dans la liste Type d'application, sélectionnez Managed Google Play comme type d'application.

Supervision et Dépannage

• [Général] Intune dispose d'un journal d'audit intégré qui suit les événements au fur et à mesure que les changements sont effectués. Cette mise à jour inclut de nouvelles fonctionnalités de journalisation, notamment :
  • Les journaux opérationnels (Preview) montrent des détails sur les utilisateurs et les périphériques qui se sont inscrits, y compris les succès et les échecs des tentatives.
  • Les journaux d'audit et les journaux opérationnels peuvent être envoyés à Azure Monitor, y compris dans des comptes de stockage, des Event Hubs et Log Analytics. Ces services vous permettent de stocker, d'utiliser des outils analyses telles que Splunk et QRadar, et d'obtenir des visualisations de vos données de journalisation.

Plus d’informations sur : https://docs.microsoft.com/en-us/intune/whats-new

Microsoft a publié une nouvelle version 18317 Windows Server vNext Semi-Annual Channel en Preview. Cette version requiert une installation fraiche et ne peut être utilisée pour mettre à jour une version précédente.

Parmi les nouveautés, on retrouve :

• Windows Defender Application Control permet de supporter plusieurs stratégies :
  • Scénario 1 - Déployer une politique "de base" en mode forcée et déployer une deuxième politique "d'audit" côte à côte pour permettre la validation des changements de stratégie avant le déploiement en mode exécution. (Intersection)
  • Scénario 2 - Appliquer simultanément deux ou plusieurs stratégies "de base" pour permettre un ciblage plus simple des stratégies pour des stratégies de portée et d'intention différentes
  • Scénario 3 - Stratégies supplémentaires déployées pour étendre la stratégie de base, par exemple, la stratégie de base de l'hôte Azure se limite étroitement à autoriser Windows et les pilotes matériels permettent les stratégies supplémentaires. La politique supplémentaire de l'équipe Exchange Azure n'ajoute que les règles de signature supplémentaires nécessaires pour prendre en charge le code signé par l'équipe Exchange.
• Nouvelle version de Windows Admin Center.
• Preview du thème noir pour Windows Admin Center.
• Configuration de Windows Admin Center en utilisant PowerShell.
• Différentes corrections de bugs :
  • Correction d’un problème où un changement de mot de passe pouvait entraîner la prochaine suspension de déverrouillage pour les utilisateurs AD joints à un domaine.
  • Correction d’un problème concernant les violations d'accès fréquentes dans bindflt!BfNormaliserNameComponentExCallback.
  • Correction d’un problème où SRV2.sys pouvait planter avec une violation d'accès lors de la tentative de connexion à une machine cliente avec une chaîne de nom nulle.
  • Correction d’un problème où les applications d'ouverture de session OpenId Connect peuvent connaître une latence élevée dans l'authentification ADFS lors de l'utilisation du flux de code SAML et Oauth.
  • Correction d’un problème où une corruption occasionnelle pouvait se produire dans les informations UserName sur les événements récupérés à l'aide de la fonction Get-RemoteAccessConnectionStatistics du cmdlet PowerShell.
  • Correction d’un problème où l'utilisation de l'explorateur de fichiers classique dans le noyau du serveur à partir de l'App Compat FOD, cliquer sur Ejecter sur un périphérique USB avertirait l'utilisateur que la clé USB est actuellement utilisée, entraînant une opération d'éjection suspendue.
  • Correction d’un problème où les fichiers d'état d'exécution de la machine virtuelle (VMRS) ne se chargeaient pas. Un système affecté peut signaler un échec dans la recherche ou la réception de la VM de l'hôte source en raison de l'invalidité des données (0x8007000d).

Il existe des problèmes connus.

Plus d’informations sur : Announcing Windows Server vNext Insider Preview Build 18317

Voilà un article intéressant de l’équipe MSRC à propos des bonnes pratiques de l’équipe Microsoft Cyber Defense Operations Center en matière de sécurité.

Les piliers de la stratégie sont les suivants :

• L'authentification multifactorielle (MFA) comme Windows Hello for Business (H4B) est utilisée pour contrôler la gestion des identités et des accès.
• L’administration utilise les privilèges d'administrateur juste à temps (JIT) et juste assez d'administrateurs (JEA) pour les ingénieurs qui gèrent l'infrastructure et les services. Ceci fournit un ensemble unique de justificatifs d'identité pour l'accès élevé qui expire automatiquement après une durée prédéfinie.
• L’utilisation de logiciels anti logiciels malveillants mis à jour et à une gestion rigoureuse des correctifs et de la configuration.
• Microsoft Security Development Lifecycle est utilisé pour durcir toutes les applications, les services en ligne et les produits, et pour valider régulièrement son efficacité par des tests de pénétration et des analyses de vulnérabilité.
• La modélisation des menaces et l'analyse des surfaces d'attaque permettent d'évaluer les menaces potentielles, d'évaluer les aspects exposés du service et de minimiser la surface d'attaque en restreignant les services ou en éliminant les fonctions inutiles.
• La classification des données en fonction de leur degré de sensibilité - élevée, moyenne ou faible - et la prise des mesures appropriées pour les protéger, y compris le chiffrement en transit et au repos, ainsi que l'application du principe de l'accès le moins privilégié, offrent une protection supplémentaire.
• Les formations de sensibilisation favorisent une relation de confiance entre l'utilisateur et l'équipe de sécurité afin de développer un environnement dans lequel les utilisateurs pourront signaler les incidents et anomalies sans crainte de représailles
• Une surveillance et des contrôles étendus de l'environnement physique des datacenters mondiaux, y compris les caméras, le filtrage du personnel, les clôtures et barrières et l'authentification multifactorielle pour l'accès physique.
• Le Software-defined network qui protège l’infrastructure Cloud contre les intrusions et les attaques par déni de service distribué.
• Les postes de travail d’administration sécurisés sont des postes de travail sécurisés et provisionnés conçus pour la gestion des systèmes de production et des activités quotidiennes telles que le courrier électronique, l'édition de documents et le travail de développement.
• L'équipe de chercheurs de Windows Defender Security Intelligence identifie, conçoit et développe des signatures de logiciels malveillants, puis les déploie dans toute l’infrastructure pour une détection et une défense avancée.

Vous pouvez retrouver l’article ou des éléments plus détaillés provenant du CDOC.

Microsoft vient d’annoncer la disponibilité générale d’une nouvelle version 1809.5 de la nouvelle interface graphique permettant de gérer les infrastructure Windows Server : Windows Admin Center. Pour rappel, Windows Admin Center permet de gérer tous les rôles des infrastructures Windows Server (File Server, Hyper-V, Storage Replica, Cluster, etc.) ainsi que de s’interconnecter à des services Azure. C’est aussi la sortie de l’extension Lenovo XClarity Integrator permettant d’étendre la gestion du matériel.

Parmi les nouveautés, on retrouve notamment les capacités :

• Amélioration de l’accessibilité
• Amélioration des messages de notification
• Amélioration de la gestion des certificats pour les mises à niveau
• Nouvel écran de lancement (Splash Screen) lors du chargement de Windows Admin Center.
• Sur Hyper-V :
  • Ajout/suppression d'un disque ou d'un lecteur virtuel pour des machines virtuelles en cours d’exécution
  • La console Web VM Connect fonctionne désormais dans l'outil Virtual Machine sur les connexions Failover Cluster et HCI Cluster.
  • Le temps de rafraîchissement de l'état des machines virtuelles est amélioré sur les clusters HCI Windows Server 2019.
  • L'état de protection d'Azure Site Recovery est affiché pour les machines virtuelles sur tous les nœuds de cluster.
  • Les alertes de santé des machines virtuelles affichent maintenant le nom de la VM au lieu de l'ID de la VM
• Amélioration de l’interface pour Cluster Aware Updating
• Les extensions installées par l'utilisateur sont conservées dans toutes les mises à niveau de Windows Admin Center.
• Résilience accrue contre les erreurs d'extension

Concernant l’hyper convergence (HCI), on retrouve :

• Actions en masse multi-sélectionnées pour les lecteurs, les volumes et les serveurs
• Supervision du stockage par serveur.
• Meilleure supervision de l’activité réseau.

Télécharger Windows Admin Center 1809

L’équipe Exchange a rappelé au travers d’un blog que la fin de support d’Exchange Server 2010 est prévue pour le 14 Janvier 2020. Ceci vous laisse donc un an pour migrer vers Office 365 ou une version supérieure d’Exchange Server.

Dans un an, Microsoft ne fournira plus :

• De support technique en cas de problème
• De correctifs pour des bugs découverts qui peuvent impacter la stabilité et l’utilisation des serveurs
• De correctifs de sécurité pour des vulnérabilités découvertes
• De mises à jour de fuseaux horaires.

Plus d’informations sur : Exchange Server 2010 End of Support is (Still) Coming

Microsoft publie une nouvelle version (Janvier 2019) d’Azure Data Studio, précédemment connu sous le nom SQL Operations Studio. Azure Data Studio offre une expérience d'éditeur moderne avec IntelliSense, des extraits de code, l'intégration du contrôle des sources et un terminal intégré.

Les utilisateurs passent de plus en plus de temps à travailler sur l'édition des requêtes que sur toute autre tâche avec SQL Server Management Studio. Pour cette raison, Azure Data Studio a été conçu pour se concentrer en profondeur sur les fonctionnalités les plus utilisées, avec des expériences supplémentaires disponibles comme des extensions optionnelles. Cela permet à chaque utilisateur de personnaliser son environnement comme il utilise le plus souvent.

Cette version intègre les changements suivants :

• Support de l'authentification Azure Active Directory
• Annonce du support de l'assistant Data-Tier Application Wizard
• Annonce de IDERA SQL DM Performance Insights (Preview)
• Mises à jour de l'extension pour SQL Server 2019 Preview
• Améliorations apportées au SQL Server Profiler
• Preview : streaming des résultats pour les requêtes volumineuses
• Corrections de bugs

Quand utiliser Azure Data Studio ?

• Vous devez utiliser macOS ou Linux
• Vous devez vous connecter sur un cluster big data SQL Server 2019
• Vous passez plus de temps à éditer ou exécuter des requêtes
• Vous voulez de visualiser rapidement des graphiques et de visualiser des ensembles de résultats
• Vous avez un besoin minimal d’assistants
• Vous n'avez pas besoin de faire de configuration administrative profonde

Quand utiliser SQL Server Management Studio ?

• Vous passez la plupart de votre temps à des tâches d'administration de bases de données.
• Vous avez besoin de faire une configuration administrative importante
• Vous effectuez la gestion de la sécurité, y compris la gestion des utilisateurs, l'évaluation des vulnérabilités et la configuration des éléments de sécurité.
• Vous utilisez les rapports pour SQL Server Query Store
• Vous devez faire des optimisations de la performance et utiliser des tableaux de bord
• Vous avez besoin d'accéder aux serveurs enregistrés et de contrôler les services SQL Server sous Windows

Plus d’informations: https://cloudblogs.microsoft.com/sqlserver/2019/01/09/the-january-release-of-azure-data-studio-is-now-available/

Pour rappel, ces outils sont disponibles depuis Windows, macOS, et Linux pour permettre de gérer SQL Server, Azure SQL Managed Instance, Azure SQL Database, Azure SQL Data Warehouse, et SQL Server 2019 Big Data Clusters.

Télécharger Azure Data Studio