Microsoft a publié dans le centre de messages à propos d’un problème connu qui touchent les périphériques macOS gérés par Microsoft Intune. Il se peut qu’ils ne puissent pas renouveler le profil d’administration (management profile). Les périphériques essayent de le renouveler à chaque évaluation du service à partir de 28 jours avant qu’il expire. Ceci survient sur les périphériques exécutant macOS 10.14 ou plus.

Microsoft travaille avec Apple pour corriger le problème.

En attendant, vous pouvez ajourner la mise à jour vers Mojave (10.14) ou exécuter le script suivant pour identifier les périphériques qui auraient un profil d’administration arrivant à expiration afin de procéder au réenregistrement dans Microsoft Intune quand ils sont proches de cette date d’expiration.

Voici le récapitulatif des annonces faites par Microsoft concernant sa plateforme Microsoft Azure.

Parmi les annonces, on retrouve notamment :

General

• Microsoft fournit un livre blanc sur la conformité et la résidence des données dans Microsoft Azure.
• Disponibilité Générale d’Azure Data Box Disk, une solution basée sur SSD pour le transfert de données hors ligne provenant des infrastructures du client vers Azure. Data Box Disk est maintenant disponible aux États-Unis, dans l'UE, au Canada et en Australie, et d'autres pays/régions seront ajoutés avec le temps.
• Des nouveautés pour le portail Azure :
  • Une nouvelle page d’accueil pour le portail Azure permet de voir les ressources récemment utilisées, naviguer vers les services communs, découvrir comment utiliser des services spécialisés, etc.
  • Définition de manière globale de l’échelle de temps utilisées par les tuiles d’un tableau de bord. Sachez que toutes les tuiles ne supportent pas l’utilisation de ce paramètre global.
  • Nouvelle fonctionnalité de démarrage/redémarrage des conteneurs sur Azure Container Instances.
• Annonce du programme Microsoft Azure DevOps Bounty. Celui offre jusqu’à 20000 $ pour des vulnérabilités éligibles dans Azure DevOps online et dans la dernière version d’Azure DevOps Server.
• Azure Migrate est maintenant disponible en Asie et en Europe. Pour rappel, Azure Migrate permet de vous aider à migrer dans Azure en collectant des données sur les machines virtuelles On-premises et d’évaluer leur viabilité dans Azure. L’outil donne notamment le coût d’exécution de la machine virtuelle dans Azure et si elle est prête à être migrée. Il peut être utilisée avec Hyper-V et les environnements vCenter avec des hôtes ESXi.

Azure MarketPlace

• On retrouve 41 nouvelles offres dans l’Azure Marketplace :
  • Concernant les machines virtuelles : ArcSight Enterprise Security Manager (ESM), Aviatrix Secure Networking Platform Bundle - PAYG, Aviatrix Secure Networking Platform SSLVPN - PAYG, FatPipe SD-WAN for Azure, GigaSECURE Cloud 5.5,00, GigaSECURE Cloud 5.5.00 - Hourly (100 pack), IBM Business Process Manager Express Edition 8.5, IBM Business Process Manager Express Edition 8.6, IBM Business Process Manager Standard Edition 8.5, IBM Business Process Manager Standard dition 8.6, IBM Security Access Manager, et Resource Central – Meeting Room Booking System.
  • Concernant les applications Web : Ansible, Glasswall FileTrust for Email, Jumbune Enterprise-Accelerating BigData Analytics, Meridix Live Streaming Platform, Nubeva Prisms, Refinitiv Deployed TRIT et SARA.
  • Concernant les Container Solutions : Elasticsearch 5 Alpine Container with Antivirus, Gosu Secured Ubuntu Container with Antivirus, MySQL 5.5 Secured Ubuntu Container with Antivirus, MySQL 5.7 Secured Ubuntu Container with Antivirus, Node 6 Secured Alpine Container with Antivirus, Node 10 Secured Alpine Container with Antivirus, Node 10 Secured Ubuntu Container with Antivirus, OpenJDK Secured Alpine 3.7 Container - Antivirus, OpenJDK Secured Alpine3.8 Container with Antivirus, Redis 3.2 Secured Alpine Container with Antivirus, Redis 4.0 Secured Alpine Container with Antivirus, Redis 4.0 Secured Ubuntu Container with Antivirus, Redis 5.0 RC Secured Alpine Container - Antivirus, Ruby 2.3 Secured Alpine 3.7 Container - Antivirus, Ruby 2.3 Secured Alpine 3.8 Container - Antivirus, Ruby 2.4 Secured Alpine Container with Antivirus, Ruby 2.6RC Secured alpine 3.7 Container-Antivirus, Ruby 2.6RC Secured alpine 3.8 Container-Antivirus, Secured Alpine 3.7 Container with Antivirus, Secured Alpine 3.8 Container with Antivirus, Secured OpenJDK on Ubu jre8 Container - Antivirus, et Secured Python on Ubuntu Container with Antivirus.

Azure Storage

• Microsoft publie un plugin Azure Data Explorer pour les tableaux de bord Grafana. Pour rappel, Grafana est un logiciel open source conçu pour la visualisation d'analyses de séries chronologiques. Il s'agit d'une plate-forme d'analyse et de métriques qui vous permet d'interroger et de visualiser des données et de créer et partager des tableaux de bord basés sur ces visualisations.
• Nouvelle version 4.3.0.0 de l’agent Azure File Sync corrigeant 3 problèmes.

IaaS

• Disponibilité Générale d’Azure Availability Zones dans la région East US 2. Les zones de disponibilité sont des emplacements physiquement séparés au sein d'une région Azure. Chaque Zone de Disponibilité se compose d'un ou plusieurs datacenters équipés d'une alimentation, d'un refroidissement et d'un réseau indépendants. Avec l'introduction des zones de disponibilité, Microsoft offre un niveau de service (SLA) de 99,99% pour la disponibilité des machines virtuelles.
• Un article donnant des retours d’expériences pour provisionner jusqu’à 10 000 machines virtuelles dans Azure.

Operations Management Suite

Azure Backup

• Microsoft explique comment sauvegarder une machine virtuelle Azure protégée par Azure Firewall.
• Mise à jour Build 9156 de l’agent Microsoft Azure Recovery Service (MARS) (Azure Backup) pour Windows Server 2012 R2 permettant de détecter les problèmes de décalage dans les fichiers de logs.

Azure Site Recovery

• Publication de l’Update Rollup 32 pour Azure Site Recovery avec les changements suivants :
  • Support de RedHat Enterprise Linux 7.6
  • Support de RedHat Workstation 6 et 7
  • Support d'Oracle Linux 6.10 et 7.6
  • Support des nouvelles versions du noyau pour Ubuntu, Debian et SUSE.
  • Support des VMs Azure qui utilisent une configuration S2D (Storage Spaced Direct)
  • La machine virtuelle sous Windows qui a des pilotes de démarrage dans le jeu de commandes actuel peut être protégée par Azure Site Recovery. Dans les versions antérieures, cette vérification était effectuée pour tous les jeux de contrôle.
  • Les drivers Linux Azure Site Recovery sont copiés sur la machine virtuelle lors des mises à jour du noyau. Dans les versions antérieures, un redémarrage était nécessaire pour copier les pilotes.
  • Améliorations des alertes de santé pour les éléments répliqués en cas d'arrêt, de suppression et d'absence de heartbeat pour les serveurs VMWare et serveurs physiques vers Azure.
  • Corrige un problème de contrôle de temps lorsque la resynchronisation est bloquée.
  • Le type de compte " Blob Storage " n'est pas disponible lorsque vous sélectionnez Target Storage Account et Target Log Storage Account lorsque vous activez la protection car ce n'était pas une configuration prise en charge.
  • Corrige un problème qui se produit lors de l'achèvement de la réplication initiale en raison d'un décalage d'horloge positif, même lorsque des points de récupération sont disponibles.
• Support des serveurs physiques configurés en mode UEFI. Les machines virtuelles de type UEFI ne sont pas prises en charge dans Azure. Cependant, ASR vous permet de migrer ces serveurs Windows vers Azure en convertissant le type de démarrage des serveurs sur site vers le BIOS lors de leur migration.
• ASR supporte maintenant les répertoires sur différents disques et supporte également /boot sur un volume LVM. Cela signifie essentiellement qu'ASR permet la migration de machines virtuelles Linux avec OS et disques de données gérés par LVM, et répertoires sur plusieurs disques.
• Extension des versions de système supportées pour AWS avec RHEL 6.5+, RHEL 7.0+, CentOS 6.5+, CentOS 7.0+.

Azure App Service

• NET Core 2.2 est maintenant disponible dans toutes les régions publiques et les régions de cloud souverain pour Azure App Service sous Windows. Cela inclut également les clients utilisant les environnements App Service. Cette version apporte le support de la version 64 bits.

Azure Monitor

• Intégration de Grafana avec Azure Monitor Logs via le plugin Log Analytics. Le nouveau plugin vous permet d'afficher toutes les données disponibles dans Log Analytics, telles que les logs relatifs aux performances de la machine virtuelle, la sécurité, Azure Active Directory qui a récemment intégré Log Analytics, et de nombreux autres types de logs y compris les logs personnalisés.

Azure SQL

• Azure Database Migration Service propose les nouveautés suivantes :
  • Support de la migration en ligne de bases de données SQL Server vers Azure SQL Database.
  • Support de la migration en ligne de bases de données MySQL vers Azure Database for MySQL
  • Support de la migration en ligne de bases de données PostgreSQL vers Azure Database for PostgreSQL
  • Support de la migration en ligne de bases de données MySQL vers Azure Database for MySQL
• Les bonnes pratiques de supervision d’Azure Database for MariaDB.
• Public Preview des identités basées sur des tokens pour les utilisateurs Azure AD dans Azure SQL Database.
• Microsoft met à jour l’infrastructure de supervision et d’alertes d’Azure SQL Database. Ceci va permettre d’améliorer la stabilité et de mettre les bases de prochaines nouveautés. Les clients qui utilisent l’API REST Azure Monitor ne pourront plus récupérer les données avant le 21 décembre.
• Un guide sur la migration de Teradata vers Azure SQL Data Warehouse.
• Publication de la version de Janvier 2019 d’Azure Data Studio (anciennement SQL Operations Studio)

Azure Data Factory

• Il est maintenant possible de créer des alertes afin de superviser de manière proactive Azure Data Factory.

HDInsight

• Public Preview du support d’HDInsight dans Azure CLI. Ceci permettra de gérer vos clusters directement depuis Azure CLI en créant, supprimant, listant, retaillant des clusters, en exécutant des scripts, etc.

Azure IoT

• Public Preview de la version 2 Microsoft Azure IoT Device Agent pour Windows 10 IoT. Microsoft Azure IoT Device Agent permet aux opérateurs de configurer, surveiller et gérer leurs appareils à distance depuis leur tableau de bord Azure.
• Nouvelles fonctionnalités pour le service IoT Hub Device Provisioning avec le support de l’attestation de clé symétrique, le support du reprovisionnement, les règles d’allocation au niveau de l’enregistrement, les logiques d’allocation personnalisées.
• Il est maintenant possible d’exporter les données presque en temps réel d’Azure IoT Central vers Azure Event Hubs et Azure Service Bus. Auparavant, il fallait utiliser un compte de stockage de blob pour stocker la donnée à froid toutes les minutes et faire l’analyse nécessaire.

Azure Cognitive Services

• Microsoft a fait un récapitulatif des annonces réalisées en 2018 autour de l’Intelligence Artificielle.
• Microsoft introduit Multi-modal topic inferencing dans Video Indexer. Cette nouvelle fonctionnalité permet d'indexer intuitivement le contenu multimédia à l'aide d'un modèle cross-canal pour déduire automatiquement les sujets. Pour ce faire, le modèle projette les concepts vidéo sur trois ontologies différentes - IPTC, Wikipedia et l'ontologie hiérarchique du sujet de Video Indexer.
• Amélioration du stockage des données au repos avec l’intégration des services suivants dans les engagements Azure Core Services : Content Moderator, Computer Vision, Face, Text Analytics, et QnA Maker.
• Disponibilité régionale plus importante avec 10 nouvelles régions. Ce qui amène à 25 le nombre de régions supportant les services cognitifs.
• Mise à jour 1.2 du SDK Cognitive Services Speech avec le support de Python 3.5+ sur les systèmes Windows/Linux, le support de Python sur macOS X. On retrouve aussi le support de Node.js. Enfin, Ubuntu 18.04 est supporté tout comme la version 16.04.

Certifications

• Microsoft obtient la certification Korea-Information Security Management System (K-ISMS). La certification K-ISMS a été introduite par la Korea Internet and Security Agency (KISA) et est conçue pour assurer la sécurité et la confidentialité des données dans la région grâce à un ensemble rigoureux d'exigences de contrôle. L'obtention de cette certification signifie que les clients d'Azure en Corée du Sud peuvent plus facilement démontrer qu'ils respectent les exigences légales locales en matière de protection des principaux actifs d'information numérique et respectent plus facilement les normes de conformité KISA.
• Ajout des certifications suivantes pour Azure Cognitive Services : ISO 20000-1:2011, ISO 27001:2013, ISO 27017:2015, ISO 27018:2014, ISO 9001:2015 certification, HIPAA BAA, HITRUST CSF certification, SOC 1 Type 2, SOC 2 Type 2, SOC 3, et PCI DSS Level 1 attestation

Autres services

• Publication d’Azure Blockchain Workbench 1.6.0 pour inclure le versioning d’applications, la mise à jour de l’API messaging, etc.

Microsoft a publié un article dans la base de connaissances concernant un problème touchant les infrastructures System Center Configuration Manager Current Branch en mode hybride couplé avec Microsoft Intune. Pour rappel, Microsoft a déprécié ce mode de fonctionnement depuis le 14 août 2018. Microsoft ne supportera plus ce dernier à partir du 1^er Septembre 2019 et les périphériques ne recevront plus de stratégies, d’applications, etc. Vous devez alors migrer vers Microsoft Intune seul ou en Co-Management.

Ceci ne concerne pas les entreprises qui utiliseraient le Co-Management !

Les entreprises qui hébergent le rôle Service Connection Point sur Windows Server 2012 ou Windows Server 2012 R2 doivent appliquer un correctif (4487960) pour permettre le renouvellement des certificats utilisés pour la communication entre Microsoft Intune et Configuration Manager. Ce dernier est disponible au travers du nœud Updates and Servicing de la console d’administration.

Note : Ce correctif n’est disponible que pour Configuration Manager 1806 et 1810. Si vous utilisez une version antérieure, vous devez mettre à jour vers l’une de ces deux versions.

Vous pouvez voir les erreurs suivantes dans le fichier DMPUploader.log :

Exception: [Unable to cast COM object of type 'System.__ComObject' to interface type 'CERTENROLLLib.CX509PrivateKey'. This operation failed because the QueryInterface call on the COM component for the interface with IID '{728AB362-217D-11DA-B2A4-000E7BBB2B09}' failed due to the following error: No such interface supported (Exception from HRESULT: 0x80004002 (E_NOINTERFACE)).]

Si vous n’appliquez pas ce correctif, alors les nouvelles stratégies et changements que vous feriez, ne seraient pas appliqués sur les périphériques gérés en mode hybride.

Vous pouvez aussi observer les messages suivants dans le fichier DMPUploader.log :

Making Web Request to Location Service Url exception System.Net.WebException: The remote server returned an error: (403) Forbidden.~~
at System.Net.HttpWebRequest.GetResponse()~~
at Microsoft.ConfigurationManager.DmpConnector.Connector.SccmProxyGenerator.GetRestUserAuthLocationServiceResponse()

Si le certificat a déjà expiré, vous devez contacter le support Microsoft.

Plus d’informations sur : Microsoft Intune connector certificate does not renew in Configuration Manager

Aujourd’hui en mettant à jour une de mes infrastructures System Center Configuration Manager, j’ai pu observer plusieurs installation/réinstallation de rôles de système de site échouer avec l’erreur : 1603.

Cela a notamment été le cas pour les rôles :

• Fallback status point (smsfspsetup.log & fspMSI.log)
• Management Point (mpsetup.log & mpMSI.log)
• Application Catalog Web Service point (SMSAWEBSVCSetup.log & awebsvcMSI.log)
• Application Catalog Web Site point (SMSPORTALWEBSetup.log & portlwebMSI.log)

L’erreur 1603 est générique et peut être en réalité la résultante de beaucoup de situations différentes. Je décris un des cas ici. Vous devez pour cela vous référer à l’erreur précise du fichier MSI.

L’ensemble de ces rôles et leurs MSI renvoyait des erreurs comme suit :

fsp.msi exited with return code: 1603

Backing up F:\Program Files\Microsoft Configuration Manager\logs\fspMSI.log to F:\Program Files\Microsoft Configuration Manager\logs\fspMSI.log.LastError

Fatal MSI Error - fsp.msi could not be installed.

En regardant dans l’un des fichiers MSI résultant, j’ai pu observer des erreurs comme suit :

[12:06:29] Processing Port List of WebSite [1]

[12:06:29] ERROR: Failed to get property value for 'certificateHash'. Error 0x80070057

[12:06:29] ERROR: GetSSLCertBindingInfo failed with error 0x80070057

[12:06:29] ERROR: Failed to configure sms ports '0x80070057'.

[12:06:29] ERROR: Failed to process port information.

[12:06:29] @@ERR:25011

MSI (s) (98!D4) [12:06:29:997]: Product: Application Web Service -- Internal Error 25011. 80070057

Internal Error 25011. 80070057

CustomAction CcmCreateIISVirtualDirectories returned actual error code 1603 (note this may not be 100% accurate if translation happened inside sandbox)

En regardant de plus près, le problème de configuration vient du site web IIS utilisé. Ouvrez alors la configuration du site IIS via IIS Manager puis sélectionnez edit bindings… sur le site en question (la plupart du temps le site web par défaut) :

Vous avez ici plusieurs possibilités :

• Soit, vous utilisez le mode HTTPS et le binding du certificat n’est plus correcte (sur Not Selected). Ceci peut être dû au fait que le certificat ait été supprimé du serveur ou autre. Dans ce cas, vous pouvez éditer le binding HTTPS et réassocier le certificat.
• Soit, vous avez un problème de lecture de la configuration du site web IIS. Dans ce cas, vous pouvez supprimer le binding HTTPS pour le recréer.

Microsoft a publié un message (MC172273) dans le Message Center à propos d’un changement prochain de l’interface et de l’expérience utilisateur proposé par le portail d’entreprise (Company Portal) de Microsoft Intune à destination d’iOS. Cette version comprend les changements suivants :

• Une page d'accueil avec l'aspect natif d'iOS
• Fonctions de filtrage sur les listes de contenu et de recherche, y compris la possibilité de filtrer par type de contenu (applications ou ebooks) et par disponibilité (gestion des périphériques requise ou disponible sans enregistrement)
• Possibilité de rechercher des livres électroniques
• Historique de recherche d'applications et d'ebooks

Vous pouvez tester cette version en avant-première via le lien suivant : https://aka.ms/intune_ios_cp_testflight

Vous devez pour cela avoir les prérequis suivants :

• Un tenant Intune avec un le certificat Apple Push Notification Service (APNs) configuré
• Un périphérique iOS de test.
• Fournir des retours sur l’expérience.

Pour plus d’informations et obtenir un aperçu du rendu graphique : https://techcommunity.microsoft.com/t5/Intune-Customer-Success/Coming-soon-User-experience-update-to-Intune-Company-Portal-app/ba-p/320938

L’actualité concernant la partie Modern Workplace est très riche ! Il est parfois difficile de tout s’approprié. Cet article résume les différentes annonces :

Général

• Microsoft lance Microsoft 365 Freelance toolkit, une solution à destination des indépendants pour permettre de faire grossir leur activité. On retrouve l’utilisation de SharePoint, Microsoft Teams avec les aspects de communication, gestion de tâches, stockage, accès externes, et sécurité. Enfin, l’offre propose un accès à Power BI et Microsoft Flow pour l’automatisation.

Enterprise Mobility + Security

Microsoft Intune

• Preview du support d’Android corporate-owned fully managed ou anciennement Corporate Owned, Business Only (COBO). La Preview focalise sur l’enregistrement du périphérique, la configuration et les scénarios de déploiement d’applications :
  • Enregistrement du périphérique via NFC, Token, QR Code et Zero Touch
  • Configuration du périphérique pour les groupes d’utilisateurs
  • Distribution et configuration des applications pour les groupes d’utilisateurs

La preview ne couvre pas encore l’accès conditionnel, la conformité du périphérique, les stratégies de protection applicative, le ciblage sur des groupes de périphériques, la gestion des certificats, l’enregistrement KNOX Mobile, etc.

• Microsoft a publié un message (MC172273) dans le Message Center à propos d’un changement prochain de l’interface et de l’expérience utilisateur proposé par le portail d’entreprise (Company Portal) de Microsoft Intune à destination d’iOS.
• Preview des modèles d’administration ADMX permettant de configurer de nombreux éléments non pris en compte par les stratégies de configuration et les CSP de Windows 10. Les stratégies ADMX-backed sont supportées à partir de Windows 10 1703. On retrouve pas moins de 300 Paramètres disponibles dans la console d’administration Microsoft Intune.
• Une nouvelle page d’état du tenant fournit des informations détaillées sur votre tenant selon 4 catégories :
  • Tenant Details - Affiche des informations qui comprennent le nom et l'emplacement de votre tenant, votre autorité MDM, le nombre total d'appareils inscrits dans votre tenant et le nombre de licences que vous détenez. Cette section répertorie également la version de service actuelle pour votre tenant.
  • Connector Status - Affiche des informations sur les connecteurs disponibles que vous avez configurés et peut également lister ceux que vous n'avez pas encore activés. En fonction de l'état actuel de chaque connecteur, ils sont marqués comme sains, en avertissement ou en erreur. Sélectionnez un connecteur pour obtenir plus de détails ou configurer des informations supplémentaires à son sujet.
  • Intune Service Health - Affiche des détails sur les incidents ou les pannes actifs pour votre tenant. Les informations contenues dans cette section sont directement extraites de l'Office Message Center.
  • Intune News - Affiche des messages actifs pour votre tenant. Les messages comprennent des éléments tels que les notifications lorsque votre tenant reçoit les dernières fonctionnalités d'Intune. Les informations contenues dans cette section sont directement extraites de l'Office Message Center.
• Voir la liste complète des nouveautés de ce début Janvier 2019.

Office 365 et Office

• Depuis le 1^er Janvier 2019, Microsoft propose une nouvelle offre Teams Meeting Rooms à destination des périphériques dans les salles de réunions et pour permettre d’accéder aux services de voix dans le Cloud. On retrouve notamment : Skype for Business Online Plan 2, Microsoft Teams, Phone System, Audio Conferencing (quand ce sera disponible) et Microsoft Intune. Ce Bundle sera disponible via CSP, EA, EAS, EES et Web Direct.
• A partir du 19 février, Microsoft met à jour les stratégies d'alerte de l'Office 365 Security & Compliance Center avec un contrôle d'accès plus granulaire basé sur les rôles. Grâce à cette fonctionnalité, vous pouvez avoir un contrôle plus granulaire sur les alertes qui peuvent être visualisées par qui dans l’Office 365 Security & Compliance Center. Après la publication, les rôles d'un utilisateur détermineront à quelle catégorie d'alertes il a accès. Par exemple, un administrateur de conformité n'aura plus accès à la gestion des menaces ou aux alertes de flux de courrier, ce qui l'aide à mieux se concentrer sur le triage et l'investigation des alertes liées à la conformité, comme la gouvernance des données, la prévention des pertes de données, etc.

• Microsoft revient sur les ajouts à OneNote réalisés en 2018. On retrouve notamment la recherche par tag, Étiquettes personnalisées d'itinérance qui se synchronisent entre les appareils, Support, etc.
• Microsoft met à jour la page d'ouverture de session d'Office 365 avec de nouvelles options d'ouverture de session qui permettront aux utilisateurs d'accéder à leurs comptes personnels. Lors de la connexion, l’utilisateur retrouvera un lien « Sign-in options ». En cliquant sur ce lien, l'utilisateur accède à un nouvel écran qui affiche des options de connexion supplémentaires qui ne fonctionnent que pour les utilisateurs de comptes Microsoft personnels. De plus, les utilisateurs seront avertis que l'ouverture d'une session par le biais d'options supplémentaires ne permettra qu'un accès à leur compte personnel. Ces options ne seront pas activées pour les utilisateurs des tenants d'Office 365 et ne changeront pas la façon dont les utilisateurs d'Office 365 se connectent à leurs ressources. Ce changement sera déployé mi-février 2019.
• Microsoft va laisser le choix de migrer d'Office 365 Video à Microsoft Stream aux entreprises. Ceci sera mis en œuvre au premier trimestre 2019.
• L’application mobile Microsoft Stream est disponible pour Android et iOS.
• Mise à jour des icônes de tuiles pour les applications Office sur le launcher d’applications Office 365 et sur Office.com.
• Outlook intègre le composant additionnel Productivity Insights à Outlook. Ce dernier vous indiquera si vous avez manqué un email ou un rendez-vous important, à savoir les tâches à réaliser, les réunions à réaliser avec vos responsables, etc.

Communications Unifiées

• Exchange Online :
  • Afin d’assurer que vous avez accès aux données d'audit critiques pour enquêter sur les incidents de sécurité dans votre entreprise, Microsoft met à jour l'audit des boîtes aux lettres Exchange afin d’auditer les lectures/accès au courrier par défaut pour les propriétaires, les administrateurs et les délégués sous l'action MailItemsAccessed.
• Skype for Business
  • La preview de Skype for Business Call Analytics est remplacée par les nouvelles fonctionnalités des centres d’administration de Microsoft Teams et Skype for Business. Microsoft planifie de retirer la fonctionnalité du centre d’administration de Lync à partir du 15 février 2019.

Collaboration

• OneDrive :
  • En avril, Microsoft va déployer un changement sur le client OneDrive pour demander une confirmation lorsqu’un utilisateur supprime plus de 200 fichiers synchronisés à une site d’équipe. Ceci a pour but d’éviter les suppressions accidentelles qui pourrait survenir.
• SharePoint
  • A partir du 1^er Avril 2019, Microsoft ne permettra plus de restreindre au mode classique les listes et bibliothèques de SharePoint pour un tenant entier. Les listes et les bibliothèques peuvent toujours utiliser le mode classique en utilisant les propriétés granulaires opt-out que Microsoft fournit au niveau de la collection du site, du site, de la liste et de la bibliothèque.
• Voici les nouveautés concernant Microsoft Teams:
  • Microsoft permet l’intégration du tableau de bord MindMeister directement dans Microsoft Teams. Pour rappel MindMeister pour Microsoft Teams permet de gérer la carte des idées qui peut survenir dans une conversation afin d’en avoir un arbre visuel sur une seule page.
  • Shifts est un outil de gestion qui permet de gérer les ressources et les équipes. Un Manager peut alors planifier et créer des roulements. Les membres peuvent ensuite voir les roulements et faire des demandes depuis leurs périphériques mobiles et ce en temps réels.
  • Microsoft propose l’extension de l’API Graph de Microsoft Teams pour intégrer votre système de gestion des ressources humaines à Shifts.
  • Microsoft met à jour Planner pour Teams afin d’ajouter les notifications.
  • Le nouvel outil Praise, offre aux gestionnaires et aux employés un moyen simple de reconnaître et féliciter leurs collègues, directement dans l'application Teams où toute l'équipe peut le voir.
  • Microsoft propose une nouvelle expérience mobile personnalisable à destination des employés de terrains qui pourront personnaliser leur menu de navigation pour avoir les fonctions les plus importantes à portée de main. Les employés de terrain pourront aussi avoir accès à de nouvelles fonctions comme le partage de lieux (mobile uniquement), l'enregistrement et le partage de messages audio (mobile en premier lieu) et la caméra intelligente (mobile uniquement). L'expérience de la caméra intelligente a été construite avec la fonctionnalité Office Lens de Microsoft. La caméra intelligente peut interpréter différents types d'images tels qu'un document, un tableau blanc ou une carte de visite, et utilise le recadrage automatique.
  • Microsoft a mis à jour la documentation en ligne pour donner des directives pour la mise à niveau de Skype for Business vers Microsoft Teams.

Microsoft vient de mettre à jour (7.0.12.0) des packs d’administration ou Management Packs (MP) SCOM pour superviser SQL Server 2017 Reporting Services. Il fonctionne avec SCOM 2012 R2 ou plus.  Il supervise le moteur Reporting Services en mode natif ou dans un mode de déploiement Scale-out ainsi que les instances Power BI Report Server. On retrouve des éléments permettant de superviser la disponibilité, la performance, la configuration, de collecter des données de performance, etc.

Cette nouvelle version apporte l’ajout du support de Power BI Report Server.

Télécharger Microsoft System Center Management Pack for SQL Server 2017+ Reporting Services

Microsoft vient de publier un nouveau pack d’administration ou Management Pack (MP) (1.6.0.7) pour Microsoft Azure. Pour rappel, System Center Operations Manager (SCOM) fait partie de la gamme System Center, il propose une supervision souple et évolutive de l’exploitation au niveau de toute l’entreprise, réduisant la complexité liée à l’administration d’un environnement informatique, et diminuant ainsi le coût d’exploitation. Ce logiciel permet une gestion complète des événements, des contrôles proactifs et des alertes, et assure une gestion des services de bout en bout. Il établit des analyses de tendance et des rapports, et contient une base de connaissances sur les applications et le système.

Ce management pack fournit les fonctionnalités suivantes :

• Découverte des services : Application Insights, Automation, Backup, Biztalk, Cloud Service, Data Factory, DocumentDB, Logic App, Media Services, Mobile Services, Networks, Notification Hubs, Operational Insights, Redis Cache, SCheduler, Search, Service Bus, SQL Azure, Storage Accounts, Traffic Manager, Virtual Machines, et Websites
• Collecte de performance pour : Cloud Services, Data Factory, DocumentDB, Mobile Services, Redis Cache, SQL Azure, Virtual Machines, Websites

Cette version comprend :

• Correction d'un problème "Greyed Out" du Health Service lors du suivi d'un grand nombre d'alertes classiques.
• Ajout d'une chaîne d'url à la description des alertes classiques pour les webtests
• Mise à jour de la liste des problèmes connus dans le Guide
  • Problème d’analyse complète. Il n'est pas recommandé de cocher "Full scan" dans l'assistant. Tous les services requis seront disponibles prêts à l'emploi avec une configuration par défaut.
  • Problème d'erreur de collecte de données de performance avec un grand nombre d’instances

Notez que ce pack d’administration nécessite System Center 2012 Service Pack 1 (SP1) – Operations Manager, System Center 2012 R2 Operations Manager ou System Center 2016 Operations Manager

Télécharger Microsoft System Center 2016 Management Pack for Microsoft Azure

Je vous propose dans ce billet de voir comment désactiver la fonctionnalité de réinitialisation du système (Factory Reset) présente nativement dans Windows 10. Cette fonctionnalité est accessible aux utilisateurs qui sont administrateurs de la machine. Certaines entreprises peuvent vouloir désactiver l’accès à la fonctionnalité pour éviter des erreurs.

La fonctionnalité Reset this PC se trouve dans l’application Paramètres/Settings puis dans la partie Update & Security – Recovery.

Le déploiement d’une stratégie MDM pour configurer le CSP adéquate est le seul moyen de véritablement bloquer l’accès à cette fonctionnalité. Ouvrez Microsoft Intune et naviguez dans Device Configuration. Créez un profil personnalisé (Custom) ou utilisez un profil personnalisé Windows 10 and later existant.

1. Ajoutez un paramétrage OMA-URI.
2. Spécifiez le nom (par exemple FactoryReset) et une description
3. Renseignez l’OMA-URI suivant : ./Vendor/MSFT/PolicyManager/My/System/AllowUserToResetPhone
   Note : Bien que le paramétrage comprenne la mention Phone, ceci s’applique aussi aux postes de travail.
4. Choisissez le type de données : Integer
5. Spécifiez la valeur : 0

Cliquez sur OK à deux reprises puis créez le profil.
Assignez enfin le profil à une groupe comprenant les machines Windows 10 cible.

Après chargement des stratégies sur les périphériques Windows 10 gérés, naviguez dans Paramètres/Settings puis dans la partie Update & Security – Recovery.
Notez que l’option est toujours disponible dans l’interface. Si l’utilisateur tente d’accéder à la fonctionnalité, cette dernière lui demande le type de réinitialisation qu’il souhaite opérer.

Quelque soit le scénario choisi, celui-ci affiche le message :
We can’t reset this PC
Your organization’s policy doesn’t allow it. For more info, talk to your support person or IT department.

Note : Il n’existe pas de GPO pour désactiver ceci. Néanmoins la commande suivante reagentc.exe /disable permet de désactiver la fonctionnalité. Notez que cette commande n’est pas parfaite et peut cependant ne pas bloquer l’ensemble des scénarios. La meilleure méthode reste le CSP en mode MDM.

Microsoft a publié un message dans l’Office Message Center à propos de l’ajout de nouvelles URL utilisées pour l’authentification sur le service Azure Active Directory. Ce changement impacte toutes les entreprises qui filtrent le trafic réseau (proxy, equipements, etc.) et utilisent une liste blanche d’URLs.Microsoft recommande de vérifier vos restrictions réseaux si vous avez basé l’ouverture des flux en fonction des URLs. Par exemple, Microsoft Intune utilise certaines plages Azure AD pour différentes étapes (Authentification, Accès aux services, etc.). Si vous ne mettez pas à jour vos configurations, les utilisateurs peuvent voir un impact.

Microsoft utilisera maintenant les plages suivantes :

• aadcdn.msauth.net
• aadcdn.msftauth.net
• ccscdn.msauth.net
• ccscdn.msftauth.net

Le changement est prévu au 22 février.

Microsoft vient de publier un livre blanc afin de donner des éléments de réponses et un guidage sur les questions de la sécurité, de la résidence des données, du flux de données et de la conformité dans Microsoft Azure. Le document est conçu pour aider les clients à s'assurer que les données de leurs clients sur Azure sont traitées d'une manière qui répond à leurs exigences de protection des données, de réglementation et de souveraineté.

Télécharger Achieving compliant data residency and security with Azure

Microsoft vient de publier une nouvelle Preview (1.45.32.0) du client pour son service Microsoft Azure Information Protection. Parmi les changements, on retrouve :

• Le scanner Azure Information Protection est maintenant configuré à partir du portail Azure, plutôt qu'en utilisant PowerShell.
• Si vous effectuez une mise à niveau à partir d'une version finale du scanneur, le processus de mise à niveau est différent des versions précédentes, assurez-vous donc de lire Upgrading the Azure Information Protection scanner. Si vous installez le scanner pour la première fois, plutôt que de le mettre à niveau, consultez la section Deploying the preview version of the Azure Information Protection scanner to automatically classify and protect files..
• Si vous labelisez et protégez les fichiers en utilisant le cmdlet Set-AIPFileLabel, vous pouvez utiliser le paramètre EnableTracking pour enregistrer le fichier sur le site de suivi des documents.
• Le scanner Azure Information Protection prend désormais en charge plusieurs bases de données de configuration sur la même instance de serveur SQL lorsque vous spécifiez un nom de profil.
• Support des types d'informations sensibles suivants qui aident à identifier les informations d'identification dans les documents et les e-mails :
  • Azure Service Bus Connection String
  • Azure IoT Connection String
  • Azure Storage Account
  • Azure IAAS Database Connection String and Azure SQL Connection String
  • Azure Redis Cache Connection String
  • Azure SAS
  • SQL Server Connection String
  • Azure DocumentDB Auth Key
  • Azure Publish Setting Password
  • Azure Storage Account Key (Generic).
• Les types d'informations sensibles suivants ne sont plus pris en charge pour les labels que vous configurez pour la classification recommandée ou automatique :
  • Numéro de téléphone de l'UE
  • Coordonnées GPS de l'UE
• Comme le scanner Azure Information Protection est configuré depuis le portail Azure, les cmdlets suivants sont désormais obsolètes et ne peuvent pas être utilisés pour configurer les référentiels de données ou la liste des types de fichiers : Add-AIPScannerRepository, Add-AIPScannerScannedFileTypes, Get-AIPScannerRepository, Remove-AIPScannerRepository, Remove-AIPScannerScannedFileTypes, Set-AIPScannerRepository, Set-AIPScannerScannedFileTypes
• Une nouvelle cmdlet PowerShell, Import-AIPScannerConfiguration est disponible, pour les scénarios où le scanner Azure Information Protection ne peut télécharger sa configuration depuis le portail Azure.
• Le scanner Azure Information Protection n'exclut plus les fichiers.zip par défaut. Pour inspecter et labéliser les fichiers.zip.
• Les utilisateurs doivent fournir une justification pour définir un label de classification inférieure, supprimer un label ou supprimer la protection ne s'applique plus au scanner. Le scanner exécute ces actions lorsque vous configurez le paramètre Relabel files to On dans le profil du scanner.

On retrouve plusieurs correctifs importants :

• De nouveaux marquages visuels sont systématiquement appliqués lorsqu'un utilisateur ajoute de nouvelles sections à un document Word, puis relabelise le document.
• Le client Azure Information Protection supprime correctement la protection d'un document PDF protégé par l'application Rights Management Sharing.
• Les chemins et les noms de fichiers n'affichent pas de points d'interrogation ( ?) au lieu de caractères non ASCII dans les analyses Azure Information Protection lorsque la locale du système d'exploitation émetteur est en anglais.
• Les sous-labels sont correctement appliqués par PowerShell et le scanner lorsque le label parent est configuré pour les autorisations définies par l'utilisateur.
• Le client Azure Information Protection affiche correctement les labels qui ont été appliqués par les clients qui supportent l’unified labeling.
• Les documents s'ouvrent correctement dans Office sans message de récupération après suppression de la protection par l'Explorateur de fichiers et clic droit, PowerShell et le scanner.

Télécharger Azure Information Protection Client Preview

Microsoft a publié une nouvelle page dans sa documentation pour montrer les avantages du Co-Management de machines Windows 10 entre System Center Configuration Manager et Microsoft Intune.  Pour rappel, Cette fonctionnalité permet de gérer des périphériques Windows 10 à la fois avec le client ConfigMgr mais aussi en mode moderne avec Microsoft Intune (Standalone). Vous pouvez ainsi choisir quelles sont les fonctionnalités que vous souhaitez gérer avec quel mode (traditionnel ou moderne). Pour l’instant, vous pouvez gérer les stratégies de conformité et les stratégies Windows Update for Business, etc..

On retrouve des vidéos sur :

• L’accès conditionnel
• Les actions à distance depuis Intune
• L’état de santé des clients
• L’Hybrid Azure AD
• Windows Autopilot

Mais aussi des éléments sur :

• Les chemins vers le Co-Management
• La configuration d’Hybrid Azure AD
• La mise à niveau vers Windows 10
• La migration depuis le mode Hybride SCCM/Intune
• L’obtention d’aide par FastTrack

Lire : Cloud connecting with co-management

Microsoft vient d’annoncer par le Microsoft Office Center que Microsoft Intune allait intégrer un changement de comportement pour un paramétrage applicable aux machines macOS gérées. Microsoft Intune va donc intégrer le paramétrage « Change Password at Next Auth » introduit par Apple pour les versions de macOS 10.14.2 ou plus.

Ceci a un impact sur vous si vous avez ou prévoyez d'avoir des périphériques fonctionnants sous macOS 10.14.2 et plus. Intune peut forcer les utilisateurs à mettre à jour leur mot de passe pour qu'il soit conforme lorsqu'une stratégie de mot de passe est appliquée. Vos utilisateurs macOS recevront une demande de mise à jour de leur mot de passe lorsque nous intégrerons cette nouvelle fonctionnalité Apple, même si leur mot de passe est déjà conforme. Notez que si un mot de passe est déjà conforme et que vous n'avez pas d'exigence contre la répétition des mots de passe, les utilisateurs pourront alors mettre à jour leur mot de passe existant.

Si vous bloquez les ressources de l'entreprise jusqu'à ce que le périphérique soit marqué conforme, sachez que vos utilisateurs finaux sur les périphériques avec macOS 10.14.2 peuvent être bloqués pour accéder aux ressources de l'entreprise telles que les sites de messagerie ou SharePoint jusqu'à ce qu'ils réinitialisent leur mot de passe. À l'avenir, toutes les mises à jour des stratégies de configuration et de conformité des mots de passe obligeront les utilisateurs ciblés à mettre à jour leurs mots de passe.

Le changement est attendu pour février 2019

Vous avez peut-être déjà eu le cas d’une mise à jour qui s’installe de manière récurrente ou que vous ne souhaitez tout simplement pas installer. Avec Windows 7, il était possible de cacher des mises à jour depuis le panneau de configuration (Windows Update). Avec Windows 10 et l’applications Paramétrages/Settings, ce n’est plus possible nativement.

Vous pouvez cependant utiliser la procédure suivante :

1. Accédez à l’article KB4026726 et téléchargez le dépanneur
2. Exécutez le fichier.
3. Passez la première page et laissez la détection s’opérer
4. Sur l’écran suivant, choisissez si vous souhaitez cacher une mise à jour ou afficher une mise à jour précédemment cachée.

5. Sélectionnez ensuite la mise à jour que vous souhaitez cacher/afficher

6. Validez que l’opération a réussi et fermez l’écran final.

Microsoft peaufine son outil de packaging et vient de mettre à disposition une nouvelle préversion (1.2019.110.0) de l’outil de packaging MSIX (MSIX Packing Tool) depuis le Microsoft Store. Cet outil permet de prendre un package d’application Win32 existant et de la convertir au format MSIX. Vous utilisez pour cela une machine de référence pour exécuter l’outil et obtenir le package MSIX que vous pouvez ensuite déployer à la main, par votre outil de télédistribution ou depuis le Microsoft Store.

Pour rappel, le format MSIX est un nouveau format standardisé lancé par Microsoft pour remplacer l’ensemble des formats de packaging existants tout en bénéficiant des avancés des différentes solutions : Click-To-Run (C2R), App-V, APPX et plus généralement du Framework d’applications universelles (UWP). Il offre donc des mécanismes de conteneurisation et les bénéfices des applications universelles avec une installation, mise à jour et désinstallation aisée sans laisser aucune trace sur le système. Il fournit aussi des mécanismes de sécurisation avancés permettant de valider l’intégrité du code exécuté. Ce format permet aussi de créer des personnalisations pour les applications packagées et de les faire perdurer au travers des différentes mises à jour de l’application.

Cette préversion ajoute les fonctionnalités :

• Amélioration du temps de packaging
• Mise à jour de la liste d'exclusion des fichiers par défaut
• Intégration des journaux d'erreurs MSIExec dans les outils de rapports
• Mise à jour des journaux pour ajouter plus de clarté et des étapes de dépannage
• Ajout du support de la capture d'installation à partir de PowerShell ISE pendant le packaging manuel
• Ajout du support pour déclarer les scripts PowerShell comme argument d'installation dans l'interface utilisateur et dans le fichier modèle de ligne de commande.
• Ajout d'un indicateur de journalisation Verbose (--verbose | -v) pour l'interface de ligne de commande
• Correction d'un problème où les chemins réseau sur la VM étaient parfois inaccessibles
• Correction d'un problème où la validation des exigences de version du Store échouait lors de l'utilisation de la ligne de commande.
• Correction d'un problème où les chemins d'accès aux fichiers entre guillemets n'étaient pas acceptés
• Correction d'un problème où la VM n'était pas nettoyée correctement après la conversion
• Correction d'un problème où l'ajout de fichiers aux packages dans l'éditeur de packages ne fonctionnait pas correctement
• Nettoyage de l'interface utilisateur

Pour accéder à l’outil, vous devez :

• Participer au programme Windows Insider Fast ou Slow Ring
• Avoir Windows 10 17701 ou plus
• Avoir les droits d’administrateur sur la machine
• Avoir un compte Microsoft pour accéder au Microsoft Store.

Plus d’informations sur : MSIX Packaging Tool (Preview) is now available from the Microsoft Store

Plus d'éléments sur le format MSIX sur MSIX Intro

Télécharger MSIX Packing Tool

Microsoft va proposer un événement de questions/réponses sur le service Azure Site Recovery. Cet évènement aura lieu le mardi 22 janvier de 17h30 à 19h (heure française). Ask Microsoft Anything est une belle opportunité pour poser des questions sur Azure Site Recovery en obtenant une réponse directe. Cette session se tient sur Twitter avec les comptes @AzSiteRecovery ou @AzureSupport avec le hashtag #ASR_AMA.

Plus d’informations sur : https://azure.microsoft.com/en-us/blog/azure-site-recovery-twitter-ama/  

Microsoft a mis à disposition un webinar sur les nouveautés apportées par SQL Server 2019. Il sera dirigé par Debbi Lyons (Senior Product Marketing Manager), Travis Wright (Principal Program Manager) et Bob Ward (Principal Architect) afin de parler des clusters bit data (Apache Spark et HDFS), de l’amélioration du moteur pour passer moins de temps à personnaliser les requêtes avec un traitement intelligent et enfin le support du langage Java.

Pour le consulter : https://info.microsoft.com/ww-ondemand-intro-sql-server-2019.html

Plus d’informations : https://cloudblogs.microsoft.com/sqlserver/2019/01/15/webinar-introduction-to-sql-server-2019/

Microsoft revoit en profondeur son programme de certifications avec une longue série de nouvelles certifications. Microsoft vient d’annoncer l’arrivée de nouvelles certifications pour Microsoft 365 sur le thème de la collaboration (Teamwork). :

• MS-300: Deploying Microsoft 365 Teamwork.
• MS-301: Deploying SharePoint Server Hybrid.

La certification MS-302: Microsoft 365 Teamwork Administrator Certification Transition permet de faire de transition à partir de la 70-339 Managing Microsoft SharePoint Server 2016

Voici les différents éléments évalués en détail :

MS-300: Deploying Microsoft 365 Teamwork

• Configurer et Gérer SharePoint Online (35-40%)
  • Planifier et configurer les collections de site et sites hub
  • Planifier et configurer les personnalisations et applications
  • Planifier et configurer les métadonnées gérées
  • Planifier et configurer les accès invités
  • Gérer SharePoint Online
  • Gérer la recherche
  • Superviser et maintenir le service SharePoint Online
• Configurer et Gérer OneDrive for Business (25-30%)
  • Configurer et gérer OneDrive for Business
  • Gérer les utilisateurs et les groupes
  • Gérer le partage et la sécurité
  • Gérer la sécurité de la synchronisation
  • Superviser et maintenir le service OneDrive
• Configurer et Gérer Teams (20-25 %)
  • Planifier et gérer les paramétrages Teams
  • Planifier l’identité et l’authentification pour Teams
  • Gérer l’environnement Teams
  • Superviser et maintenir le service Teams
• Configurer et gérer l’intégration des charges de travail (15-20%)
  • Intégrer les charges de travail Microsoft 365
  • Gérer les fonctionnalités de Yammer
  • Gérer les fonctionnalités Stream
  • Intégrer les charges de travail Microsoft 365 avec les systèmes et données externes

MS-301: Deploying SharePoint Server Hybrid

• Configurer et Gérer SharePoint On-Premises (55-50%)
  • Planifier une ferme SharePoint
  • Gérer et maintenir une ferme SharePoint
  • Implémenter l’authentification
  • Gérer les collections de site
  • Planifier et configurer Business Connectivity Services (BSC) et Secure Store
  • Planifier et configurer les métadonnées gérées
  • Gérer la recherche
• Configurer et Gérer les scénarios hybrides (30-35%)
  • Planifier une topologie et configuration hybride
  • Implémenter des artefacts de travail en équipe hybride.
  • Implémenter une application Search Service hybride
  • Implémenter une passerelle de données
• Migrer vers SharePoint Online (5-10%)
  • Migrer les données et le contenu

Des codes de passage (MS500LibertyHikes) sont disponibles pour les 300 premiers afin de recevoir une réduction de 80%. :

• MS-300 : MS300Season
• MS-301 : MS300Rocks
• MS-302 : MS302TravelKLS

Les certifications doivent être passées avant le 15 février 2019. 

Source : https://www.microsoft.com/en-us/learning/community-blog-post.aspx?BlogId=8&Id=375195

Microsoft vient de publier la version 1.41.51.0 du client Azure Information Protection sur Windows Update.

Elle ajoute les éléments suivants :

• Par défaut, le client Azure Information Protection protège désormais les fichiers PDF en utilisant la norme ISO pour le chiffrement des PDF. Auparavant, vous deviez activer cette prise en charge avec un paramétrage client avancé. Si vous voulez que le client revienne à la protection des fichiers PDF en utilisant une extension de nom de fichier.ppdf, utiliser le même paramètre client avancé, mais spécifier False.
• Support du reporting central pour la fonctionnalité d'analyse Azure Information Protection annoncée à l'Ignite.
• Excel supporte désormais également les marquages visuels de différentes couleurs.
• Pour les déploiements S/MIME existants, un nouveau paramètre client avancé (en préversion) pour configurer un label afin d'appliquer automatiquement la protection S/MIME dans Outlook.
• Un nouveau paramètre client avancé, comme alternative à l'édition du registre pour empêcher les ouvertures de session pour le service Azure Information Protection pour les ordinateurs déconnectés.

Elle ajoute les correctifs suivants :

• Le client Azure Information Protection n'exclut plus les extensions de noms de fichiers.msg,.rar et.zip pour les commandes File Explorer (clic droit) et PowerShell. Toutefois, ces extensions de nom de fichier restent exclues par défaut pour le scanner.
• Le client Azure Information Protection peut déprotéger plusieurs fichiers (multi-sélection et un dossier qui contient des fichiers protégés) lorsque vous utilisez l'Explorateur de fichiers, faites un clic droit.
• Pour Excel :
  • Des repères visuels sont maintenant appliqués si vous sauvegardez la feuille de calcul pendant l'édition d'une cellule.
  • Excel 2010 : Lorsqu'une feuille de calcul est protégée en utilisant le niveau d'autorisation Co-Author, le bouton Delete Label est maintenant disponible lorsque vous cliquez avec le bouton droit de la souris sur le fichier et choisissez Classify and Protect.
• Les paramètres avancés du client qui peuvent supprimer les en-têtes et les pieds de page d'autres solutions d'étiquetage prennent désormais en charge les mises en page personnalisées.
• Lorsque la programmation du scanner est réglée sur Always, il y a maintenant un délai de 30 secondes entre les scans.
• Le scanner ne modifie plus le propriétaire pour les fichiers qu'il étiquette lorsque le fichier est déjà protégé.

Télécharger Microsoft Azure Information Protection

Microsoft a publié un article concernant un problème pouvant toucher WSUS en mode autonome ou WSUS couplé à System Center Configuration Manager. Dans ces cas de figures, la synchronisation peut échouer sans raison apparente et de manière aléatoire.

On retrouve les informations suivantes dans le fichier wsyncmgr.log :

MM/dd/YYYY HH:mm:ss PM Synchronizing WSUS server contoso1.contoso.com ...

MM/dd/YYYY HH:mm:ss PM sync: Starting WSUS synchronization

MM/dd/YYYY HH:mm:ss PM sync: WSUS synchronizing categories

MM/dd/YYYY HH:mm:ss PM sync: WSUS synchronizing updates

MM/dd/YYYY HH:mm:ss PM Caught exception: Microsoft.SystemsManagementServer.SoftwareUpdatesManagement.WsusSyncAction.WsysSyncFailedException: ImportUpdateError: ~~ at Microsoft.SystemsManagementServer.SoftwareUpdatesManagement.WsusSyncAction.WSyncAction.SyncWSUS(SyncMode syncMode)~~ at Microsoft.SystemsManagementServer.SoftwareUpdatesManagement.WsusSyncAction.WSyncAction.DoSync()

MM/dd/YYYY HH:mm:ss PM Sync done. Getting sync info...

MM/dd/YYYY HH:mm:ss PM Got sync info. NumSynced = 0

MM/dd/YYYY HH:mm:ss PM Sync failed: ImportUpdateError: . Source: Microsoft.SystemsManagementServer.SoftwareUpdatesManagement.WsusSyncAction.WSyncAction.SyncWSUS

MM/dd/YYYY HH:mm:ss PM STATMSG: ID=6703 SEV=E LEV=M SOURCE="SMS Server" COMP="SMS_WSUS_SYNC_MANAGER" SYS=CONTOSO1.CONTOSO.COM SITE=NEW PID=3196 TID=7588 GMTDATE=Day Mon dd HH:mm:ss.ssss YYYY ISTR0="Microsoft.SystemsManagementServer.SoftwareUpdatesManagement.WsusSyncAction.WSyncAction.SyncWSUS" ISTR1="ImportUpdateError: " ISTR2="" ISTR3="" ISTR4="" ISTR5="" ISTR6="" ISTR7="" ISTR8="" ISTR9="" NUMATTRS=0

MM/dd/YYYY HH:mm:ss PM Sync failed. Will retry in 60 minutes

On retrouve aussi des erreurs dans le fichier SoftwareDistribution.log :

YYYY-MM-dd HH:mm:ss.sss UTC Error WsusService.42 CatalogSyncAgentCore.GetAndSaveUpdateMetadata 2 update(s) could not be imported into the local db even with retry

YYYY-MM-dd HH:mm:ss.sss UTC Error WsusService.42 CatalogSyncAgentCore.GetAndSaveUpdateMetadata Bad Update Revision #0: b55a761f-98c3-4e8f-be39-9dcfd35ceefc/201

YYYY-MM-dd HH:mm:ss.sss UTC Error WsusService.42 CatalogSyncAgentCore.GetAndSaveUpdateMetadata Bad Update Revision #1: e0dd10bf-612b-4524-b382-9655a5ee7d6e/200

YYYY-MM-dd HH:mm:ss.sss UTC Info WsusService.42 CatalogSyncAgentCore.UpdateSyncResultAndGenerateReportingEvent CatalogSyncThreadProcess: report subscription One or more updates failed to import to local database.

YYYY-MM-dd HH:mm:ss.sss UTC Info WsusService.42 EventLogEventReporter.ReportEvent EventId=386,Type=Error,Category=Synchronization,Message=Synchronization failed. Reason: System.Data.SqlClient.SqlException (0x80131904): Cannot insert the value NULL into column 'RevisionID', table '@AtLeastOneBundle'; column does not allow nulls. INSERT fails.

Error loading information from upd:BundledUpdates/upd:AtLeastOne/upd:UpdateIdentity for updateB55A761F-98C3-4E8F-BE39-9DCFD35CEEFC\201. Some update revisions in bundle information are not already present in the database.

Dans la console WSUS, vous pouvez voir des erreurs de synchronisation avec comme message : A dependency of the update was not found on the server and was not provided by the upstream server.

La cause principale n’est pas encore connue. Microsoft recommande la réexécution de la synchronisation qui doit pouvoir importer les mises à jour de définition en échec.

Plus d’informations sur : Windows Server Update Service (WSUS) to Microsoft Update sync fails

Microsoft a publié un article dans la base de connaissances concernant un problème qui pouvait survenir pour des entreprises utilisant encore Windows 7. Ce dernier concerne l’activation. Des utilisateurs peuvent alors recevoir un message spécifiant que Windows n’est pas original (Windows is not Genuine). Un watermark peut être aussi présent en bas à droite de l’écran pour spécifier que la version n’est pas originale.

Si vous vérifiez l’état d’activation de la machine via la commande slmgr /dlv, vous pouvez voir :

Name: Windows(R) 7, Enterprise edition
Description: Windows Operating System - Windows(R) 7, VOLUME_KMSCLIENT channel
Activation ID: ae2ee509-1b34-41c0-acb7-6d4650168915
Application ID: 55c92734-d682-4d71-983e-d6ec3f16059f
Extended PID: <removed>
Installation ID: <removed>
Partial Product Key: HVTHH
License Status: Notification
Notification Reason: 0xC004F200 (non-genuine).
Remaining Windows rearm count: 2
Trusted time: <removed>
Please use slmgr.vbs /ato to activate and update KMS client information in order to update values.

On retrouve l’écriture d’événément 8209, 8208, 13 et 8196 dans le journal d’applications.

Ceci survient car Microsoft a opéré un changement le 8 janvier à 10h (UTC) puis est revenu sur le changement le 9 janvier à 4h30 (UTC). Pour résoudre le problème, vous devez supprimer la KB 971033 des machines concernées et qui sont équipées des éditions suivantes : Windows 7 Professional, Windows 7 Professional N, Windows 7 Professional E, Windows 7 Enterprise, Windows 7 Enterprise N, et Windows 7 Enterprise E.

Vous pouvez consulter l’article suivant pour obtenir la procédure à suivre pour désinstaller cette mise à jour sur les machines posant problème : Activation failures and "not genuine" notifications around January 8, 2019, on volume-licensed Windows 7 KMS clients

Microsoft vient d’annoncer la mise à disposition d’un nouvel ensemble de fonctionnalités pour Microsoft Intune.

Les fonctionnalités suivantes sont ajoutées :

Enregistrement des périphériques

• [Général] Des messages d'erreur plus détaillés sont disponibles lorsque les restrictions d’enregistrement ne sont pas respectées. Pour voir ces messages, allez dans Intune > Troubleshoot > et vérifier le tableau Enrollment Failures. Pour plus d'informations, voir la liste des échecs d’enregistrement.

• [iOS] Passer plus d'écrans de l'assistant de configuration sur un périphérique iOS DEP. En plus des écrans que vous pouvez actuellement ignorer, vous pouvez configurer les périphériques iOS DEP pour qu'ils sautent les écrans suivants dans l'Assistant de configuration lorsqu'un utilisateur enregistre le périphérique : Display Tone, Privacy, Android Migration, Home Button, iMessage & FaceTime, Onboarding, Watch Migration, Appearance, Screen Time, Software Update, SIM Setup. Pour choisir les écrans à sauter, allez dans Device enrollment > Apple enrollment > Enrollment program tokens > choisissez un token > Profiles > choisissez un profil > Properties > Setup Assistant customization > choisissez Hide pour tous les écrans que vous voulez sauter > OK.

Configuration du périphérique

• [Général] Cette mise à jour inclut le chiffrement des e-mails S/MIME à l'aide d'un nouveau modèle de certificat importé (Device configuration > Profiles > Create profile > sélectionner la plate-forme > Type de profil PKCS imported certificate). Vous pouvez importer des certificats au format PFX. Intune peut alors délivrer ces mêmes certificats à plusieurs périphériques enregistrés par un seul utilisateur. Ceci inclut également :
  • Le profil de messagerie iOS natif prend en charge l'activation du chiffrement S/MIME à l'aide de certificats importés au format PFX.
  • L'application de messagerie native sur les périphériques Windows Phone 10 utilise automatiquement le certificat S/MIME.
  • Les certificats privés peuvent être déployés sur plusieurs plates-formes. Mais toutes les applications de messagerie ne prennent pas en charge S/MIME.
  • Sur d'autres plates-formes, vous devrez peut-être configurer manuellement l'application de messagerie pour activer S/MIME.
  • Les applications de messagerie qui prennent en charge le chiffrement S/MIME peuvent gérer la récupération des certificats pour le chiffrement de messagerie S/MIME d'une manière qu'un MDM ne peut pas prendre en charge, comme la lecture depuis la liste de certificats de leur éditeur. Pour plus d'informations sur cette fonctionnalité, voir l’article suivant.

• [Windows 10] Public Preview des modèles d’administration (ADMX) pour les périphériques Windows 10. Ces derniers ont été déplacé dans un profil de configuration dédié Device configuration > Administrative templates. Ils ne fournissent pas moins de 300 paramétrages ADMX qui peuvent gérés dans Intune sans avoir à créer des stratégies ADMX-backed. Note : pour l’instant, ces derniers ne s’appliquent qu’en mode autonome. Microsoft travaille pour qu’ils puissent être appliqués sur des machines co-gérés.

• [Windows 10] Sur les périphériques Windows 10, vous pouvez créer un profil de configuration VPN qui inclut une liste de serveurs DNS pour résoudre les domaines, tels que contoso.com. Cette mise à jour inclut de nouveaux paramètres pour la résolution des noms (Device configuration > Profiles > Create profile > Choisir Windows 10 and later > Choisir VPN pour le type de profil > DNS settings > Add) :
  • Automatically connect : Lorsqu'il est activé, l'appareil se connecte automatiquement au VPN lorsqu'un appareil contacte un domaine que vous entrez, tel que contoso.com.
  • Persistent : Par défaut, toutes les règles de la table Name Resolution Policy (NRPT) sont actives tant que le périphérique est connecté en utilisant ce profil VPN. Lorsque ce paramètre est activé sur une règle NRPT, la règle reste active sur le périphérique, même lorsque le VPN se déconnecte. La règle reste en vigueur jusqu'à ce que le profil VPN soit supprimé ou jusqu'à ce que la règle soit supprimée manuellement, ce qui peut être fait avec PowerShell.

• [Windows 10] Lorsque vous utilisez la détection de réseau de confiance, vous pouvez empêcher les profils VPN de créer automatiquement une connexion VPN lorsque l'utilisateur est déjà sur un réseau de confiance. Avec cette mise à jour, vous pouvez ajouter des suffixes DNS pour activer la détection d'un réseau de confiance sur les périphériques fonctionnant sous Windows 10 (Device configuration > Profiles > Create profile > Windows 10 and later > VPN).
• [Wndows 10] Actuellement, vous pouvez configurer les paramètres Shared PC sous Windows 10 et Windows Holographic pour les périphériques d’entreprise en utilisant un paramètre OMA-URI personnalisé. Avec cette mise à jour, un nouveau profil est ajouté pour configurer les paramètres Shared Device (Device configuration > Profiles > Create Profile > Windows 10 and later > Shared multi-user device).

• [Windows 10] Pour les paramètres de diffusion de mises à jour Windows 10 (Windows 10 Update Rings), vous pouvez configurer :
  • Automatic update behavior : Utilisez une nouvelle option, Reset to default pour restaurer les paramètres de mise à jour automatique d'origine sur une machine Windows 10 1809.
  • Block user from pausing Windows updates : Configurez un nouveau paramètre de mise à jour du logiciel qui vous permet de bloquer ou d'autoriser vos utilisateurs à interrompre l'installation des mises à jour à partir des paramètres de leur ordinateur.

• [Windows 10] Vous pouvez créer un profil de configuration qui définit les paramètres de gestion de BitLocker sur les périphériques Windows 10 Professional. Plus d’informations sur : Endpoint protection settings for Windows 10.
• [Windows 10] Cette mise à jour inclut un nouveau paramètre pour gérer la possibilité d’arrêter des processus à l'aide du Gestionnaire de tâches (task manager) sur les périphériques Windows 10. A l'aide d'un profil de configuration de périphérique (Device configuration > Profiles > Create profile > Windows 10 > Device restrictions > General settings), vous choisissez d'autoriser ou de bloquer ce paramètre.

• [iOS] Vous pouvez créer un profil email qui inclut différents paramètres. Cette mise à jour inclut les paramètres S/MIME qui peuvent être utilisés pour signer et chiffrer les communications électroniques sur les périphériques iOS (Device configuration > Profiles > Create profile > iOS > Email).
• [iOS] La configuration des périphériques partagés est renommée en Lock Screen Message pour les périphériques iOS dans le portail Azure. Lorsque vous créez un profil de configuration pour les périphériques iOS, vous pouvez ajouter des paramètres de configuration de périphérique partagé pour afficher un texte spécifique sur l'écran de verrouillage. Cette mise à jour comprend les changements suivants :
  • Les paramètres de configuration du périphérique partagé dans le portail Azure sont renommés en "Lock Screen Message (supervised only)" (Device configuration > Profiles > Create profile > iOS > Device features > Lock Screen Message).
  • Lorsque vous ajoutez des messages de verrouillage d'écran, vous pouvez insérer un numéro de série, un nom de périphérique ou une autre valeur spécifique au péripéhrique en tant que variable dans les informations d'Asset tag et Lock screen footnote. Par exemple, vous pouvez entrer le nom du dispositif : {{devicename}}} ou le numéro de série est {{serialnumber}} en utilisant des crochets bouclés. Les listes de tokens iOS disponibles qui peuvent être utilisés.

• [iOS] Dans Device Configuration > Profiles > Create profile > iOS > Device restrictions > App Store, Doc Viewing, Gaming, les paramètres suivants sont ajoutés :
  • Allow managed apps to write contacts to unmanaged contacts accounts (supervised only)
  • Allow unmanaged apps to read from managed contacts accounts (supervised only)

• [Android] Cette mise à jour inclut plusieurs nouvelles fonctionnalités sur les péripéhriques Android Enterprise lorsqu'ils fonctionnent en tant que device owner. Pour utiliser ces fonctions, allez dans Device Configuration > Profiles > Create profile > Android Enterprise > Device owner only > Device Restrictions. Les nouvelles fonctionnalités incluent :
  • Désactiver l'affichage des notifications système, y compris les appels entrants, les alertes système, les erreurs système, etc.
  • Suggère de passer les tutoriels de démarrage et les conseils pour les applications qui s'ouvrent pour la première fois.
  • Désactiver les paramètres avancés de la protection du clavier, tels que l'appareil photo, les notifications, le déverrouillage des empreintes digitales, etc.

• [Android] Dans cette mise à jour, vous pouvez utiliser des connexions VPN permanentes sur les périphériques Android Enterprise en mode device owner. Les connexions VPN toujours actives restent connectées ou se reconnectent immédiatement lorsque l'utilisateur déverrouille son appareil, lorsque l'appareil redémarre ou lorsque le réseau sans fil change. Vous pouvez également mettre la connexion en mode "lockdown", qui bloque tout le trafic réseau jusqu'à ce que la connexion VPN soit active. Vous pouvez activer le VPN Always-on dans Device configuration > Profiles > Create profile > Android enterprise > Device restrictions for Device Owner Only > Connectivity settings.

Gestion des applications

• [Android/iOS] Vous pouvez maintenant configurer le nombre de jours pendant lesquels un utilisateur final peut attendre avant qu’on lui demander de modifier son code PIN d'application Intune. Le nouveau paramètre PIN reset after number of days est disponible en sélectionnant Intune > Client apps > App protection policies > Create Policy > Settings > Access requirements. Cela peut s’appliquer pour les appareils iOS et Android, cette fonctionnalité supporte une valeur entière positive.

• [Android/iOS] Intune fournit des champs de rapport supplémentaires sur les périphériques, y compris l'Identifiant d'enregistrement de l'application, le fabricant Android, le modèle et la version du correctif de sécurité, ainsi que le modèle iOS. Ces champs sont disponibles en sélectionnant Applications Client apps > App protection status et en choisissant App Protection Report: iOS, Android. De plus, ces paramètres vous aideront à configurer la liste d'autorisation pour le fabricant de l'appareil (Android), la liste d'autorisation pour le modèle de l'appareil (Android et iOS), et le réglage minimum de la version du patch de sécurité Android.

Supervision et Dépannage

• [Général] Une nouvelle page d’état du tenant fournit des informations détaillées sur votre tenant selon 4 catégories :
  • Tenant Details - Affiche des informations qui comprennent le nom et l'emplacement de votre tenant, votre autorité MDM, le nombre total d'appareils inscrits dans votre tenant et le nombre de licences que vous détenez. Cette section répertorie également la version de service actuelle pour votre tenant.
  • Connector Status - Affiche des informations sur les connecteurs disponibles que vous avez configurés et peut également lister ceux que vous n'avez pas encore activés. En fonction de l'état actuel de chaque connecteur, ils sont marqués comme sains, en avertissement ou en erreur. Sélectionnez un connecteur pour obtenir plus de détails ou configurer des informations supplémentaires à son sujet.
  • Intune Service Health - Affiche des détails sur les incidents ou les pannes actifs pour votre tenant. Les informations contenues dans cette section sont directement extraites de l'Office Message Center.
  • Intune News - Affiche des messages actifs pour votre tenant. Les messages comprennent des éléments tels que les notifications lorsque votre tenant reçoit les dernières fonctionnalités d'Intune. Les informations contenues dans cette section sont directement extraites de l'Office Message Center.

• [Général] Nouvelle expérience d'aide et de support pour Intune. Cette nouvelle expérience est disponible pour Intune et est accessible en utilisant les tuiles Intune du portail Azure. Cette nouvelle expérience vous permet de décrire votre problème dans vos propres mots et d'obtenir des conseils de dépannage et du contenu de remédiation sur le Web. Ces solutions sont proposées via un algorithme machine learning basé sur des règles, pilotés par les requêtes des utilisateurs. En plus des conseils spécifiques à un problème, vous pouvez utiliser le nouveau workflow de création de ticket pour ouvrir un ticket d'assistance par e-mail ou par téléphone. Cette nouvelle expérience remplace l'expérience précédente d'aide et de support d'un ensemble statique d'options présélectionnées qui sont basées sur la zone de la console dans laquelle vous vous trouvez lorsque vous ouvrez Aide et support.

• [Windows 10] Nouvelle expérience d'aide et support dans le portail d'entreprise pour Windows 10, aide les utilisateurs à dépanner et à demander de l'aide pour les problèmes d'accès et d'application. À partir de la nouvelle page, ils peuvent envoyer par email les détails du journal des erreurs et du diagnostic et trouver les détails du service d'assistance de leur organisation. Ils trouveront également une section FAQ avec des liens vers la documentation Intune correspondante.

Sécurité

• [Général] Vous pouvez créer des scope tags pour limiter l'accès aux rôles et aux applications. Vous pouvez ajouter un scope tag à une application pour que seules les personnes ayant des rôles assignés à ce scope tag aient accès à l'application.

Plus d’informations sur : https://docs.microsoft.com/en-us/intune/whats-new

Voici un tour d’horizon des annonces et nouvelles fonctionnalités pour Microsoft Intune pour le mois de décembre 2018. Il y a peu de fonctionnalités car ce mois est principalement dédié aux fêtes de fin d’année.

Les fonctionnalités suivantes sont ajoutées :

Enregistrement des périphériques

• [macOS] Intune nécessite maintenant macOS version 10.12 ou plus. Les périphériques utilisant des versions antérieures de macOS ne peuvent pas utiliser le portail d'entreprise pour s’enregistrer à Intune. Pour recevoir du support et de nouvelles fonctionnalités, les utilisateurs doivent mettre à niveau leur appareil vers macOS 10.12 ou une version ultérieure et mettre à niveau le Portail d'entreprise vers la dernière version.
• [macOS] Pour continuer à recevoir les mises à jour pour le portail de l'entreprise et d'autres applications Office, les périphériques macOS gérés par Intune doivent être mis à niveau vers Microsoft Auto Update 4.5.0. Les utilisateurs peuvent déjà avoir cette version pour leurs applications Office. 

Gestion des applications

• [macOS/iOS] Microsoft Intune supporte Transport Layer Security (TLS) 1.2+ pour fournir un meilleur chiffrement et pour s'assurer que Intune est plus sécurisé par défaut et pour s'aligner avec les autres services Microsoft tels que Microsoft Office 365. Afin de répondre à cette exigence, les portails d'entreprise iOS et macOS appliqueront les exigences mises à jour d'Apple en matière de sécurité du transport des applications (ATS), qui exigent également TLS 1.2+. ATS est utilisé pour appliquer une sécurité plus stricte sur toutes les communications applicatives via HTTPS. Ce changement a un impact sur les clients Intune qui utilisent le portail d’entreprise pour iOS et macOS. Voici des informations supplémentaires.

• [Android] Le SDK Intune App pour Android utilise désormais des clés de chiffrement 256 bits lorsque le chiffrement est activé par les stratégies de protection d'application. Le SDK continuera à prendre en charge les clés 128 bits pour assurer la compatibilité avec le contenu et les applications qui utilisent les anciennes versions du SDK.

Plus d’informations sur : https://docs.microsoft.com/en-us/intune/whats-new

L’équipe Exchange vient de publier le 25ème Rollup (KB4468742) pour Exchange Server 2010 SP3 (version 14.03.0435.000).

Il corrige la vulnérabilité suivante : Microsoft Common Vulnerabilities and Exposures CVE-2019-0588

Une vulnérabilité de divulgation d'informations existe lorsque l'API PowerShell de Microsoft Exchange accorde aux contributeurs de calendrier plus de droits d’accès que prévu. Pour exploiter cette vulnérabilité, un attaquant devrait se voir accorder l'accès à un calendrier Exchange par un administrateur via PowerShell. L'attaquant serait alors en mesure d'afficher des détails supplémentaires sur le calendrier qui serait normalement caché.

La mise à jour de sécurité corrige cette vulnérabilité en modifiant la façon dont l'API PowerShell d'Exchange accorde les permissions aux contributeurs.

Télécharger Update Rollup 25 For Exchange 2010 SP3 (KB4468742)