Gartner a annoncé que les clients avaient l’habitude de choisir Skype for Business, Microsoft Teams et Office 365 comme solution de communications unifiées. L’Award 2018 Gartner Peer Insights Customers’ Choice for UCaaS and UC a été décerné en fonction des retours clients à différents sondages.

Vous pouvez trouver le détail des éléments sur : https://www.gartner.com/reviews/market/unified-communications-service/vendor/microsoft  

Source : https://techcommunity.microsoft.com/t5/Microsoft-Teams-Blog/Microsoft-named-a-2018-Gartner-Peer-Insights-Customers-Choice/ba-p/302930

Microsoft a publié des ressources permettant de vous accompagner dans le projet d’implémentation de l’authentification à facteurs multiples. On retrouve différents messages à communiquer par email :

• La communication sur le service
• Les actions à réaliser avant déploiement
• Un rappel.

Enfin, un PowerPoint offre des posters/affiches de communication autour de ce sujet de sécurité.

Télécharger Multi-factor authentication rollout materials

Microsoft vient de mettre à disposition les drivers et firmwares pour Windows 10 pour la Surface Go en version LTE.

Télécharger Surface Go [LTE] Drivers and Firmware

Microsoft vient de publier un outil vous permettant de dépanner les communications entre le client Outlook et le service Office 365. Exchange Online Fiddler Extension permet notamment de donner des informations et dépanner l’authentification, l’autodiscover, la connectivité réseau, les informations de performance, etc.

Plus d’informations sur : https://blogs.technet.microsoft.com/exchange/2018/12/11/introducing-the-exchange-online-fiddler-extension/

Gartner vient de sortir un nouveau Magic Quadrant pour les solutions d’archivage de l’information d’entreprise.  Microsoft est mis en avant des fonctions telles que la réduction des données entre les types de contenu, la gestion de la rétention, l'indexation du contenu et les outils de base pour l’e-discovery et la classification. Microsoft figure parmi : Mimecast, Proofpoint, Smarsh (Actiance), Global Relay et ZI. Technologies.

Les forces suivantes sont mis en avant :

• La roadmap de Microsoft montre une vision cohérente de la gouvernance de l'information dans Office 365, Azure, OneDrive et d'autres éléments de son portfolio.
• Microsoft apporte simplicité architecturale et facilité d'utilisation pour l'archivage des utilisateurs finaux dans Office 365.
• Microsoft offre une installation et une configuration simples pour Office 365, avec des fonctionnalités natives pour l'archivage, l’e-discovery et la sécurité, y compris des actions intuitives de glisser-déposer et de clic droit.

Parmi les faiblesses, on retrouve :

• Les organisations qui évoluent dans des environnements complexes et très litigieux ont souvent besoin de solutions tierces de preuve électronique pour compléter les fonctionnalités existantes d'Office 365.
• Les clients de référence notent des incohérences avec les résultats de recherche et les performances pour la découverte, et des processus immatures avec les cas d'utilisation sous supervision.
• Les fichiers doivent être migrés vers SharePoint ou OneDrive pour que les politiques, telles que la mise en attente légale, soient appliquées.

Voir Magic Quadrant for Enterprise Information Archiving

Plus d’informations sur : https://techcommunity.microsoft.com/t5/Security-Privacy-and-Compliance/See-why-Microsoft-is-ranked-as-a-Leader-in-the-latest-Gartner/ba-p/304206

L’actualité concernant la partie Modern Workplace est très riche ! Il est parfois difficile de tout s’approprié. Cet article résume les différentes annonces :

Microsoft 365

• Changement du nom du rôle Password Admin qui avait le droit de réinitialiser les mots de passe, de gérer les tickets et de superviser l'état du service. Ce rôle devient Helpdesk admin.
  

Enterprise Mobility + Security

Cloud App Security

• Deux nouvelles méthodes de détection font leurs apparitions pour aider à gérer les activités malicieuses contre les comptes de boites aux lettres Exchange. :
  • Malicious forwarding rules : Microsoft Cloud App Security peut désormais détecter et alerter sur les règles de transfert suspectes, vous permettant ainsi de trouver et de supprimer les règles cachées à la source. Les noms de règles de redirection malveillantes varient et peuvent avoir des noms simples, tels que "Transférer tous les e-mails", "Transférer automatiquement" ou ils sont créés avec des noms trompeurs, tels que "presque cachés" En fait, les noms de règles de redirection peuvent même être vides, et la cible du transfert peut être un compte e-mail ou une liste entière. Il existe même des moyens de masquer les règles malveillantes de l'interface utilisateur. Désormais, vous pouvez utiliser les nouvelles détections de Microsoft Cloud App Security pour analyser et détecter les comportements suspects et générer des alertes sur les règles de transfert même lorsque les règles sont apparemment cachées.
  • Malicious folder manipulation : Les attaquants définissent une règle de boîte de réception pour supprimer et/ou déplacer les courriels vers un dossier moins visible (par exemple : "RSS"). Ces règles déplacent tous les courriels ou seulement ceux qui contiennent des mots clés cibles spécifiques. Microsoft a identifié près de 100 mots communs et pertinents que les règles de suppression ou de déplacement malveillants recherchent dans le corps et l'objet d'un message.

Microsoft Intune

• Microsoft présente sa stratégie pour transformer la gestion des périphériques Android dans l’entreprise.

Azure Information Protection

• Disponibilité Générale de l’intégration d’Adobe Acrobat Reader avec Microsoft Information Protection. Vous devez utiliser une des dernières versions (2019.010.20064 minimum) du client Acrobat Reader et vérifier que les labels sont visibles dans le la partie Security and Compliance Center du portail Office. Outre ceci, vous devez valider le consentement d’accès pour l’identifiant d’application spécifique à Adobe Acrobat.
• Des nouveaux ajouts à l’intégration entre Azure Information Protection et Windows Defender Advanced Threat Protection (ATP) :
  • Un tableau de bord Data Discovery dans la tuile Azure Information Protection analytics permet de présenter des informations découvertes à la fois par AIP et ATP avec notamment les informations sensibles trouvées, une évaluation de l’état de risque des périphériques, etc.
  • Lorsque vous créez un label dans l’Office Security and Compliance (SCC), vous pouvez maintenant créer des actions de protection d’informations qui seront appliquées sur le fichier.
  • Enfin, on retrouve un tableau de bord des activités d’un utilisateur, d’un périphérique, d’une application, d’un label ou d’un emplacement depuis la vue Activity Logs.

Office 365 et Office

• La suite Office va avoir de nouvelles icônes.
• OneDrive va se voir doter d’un nouveau design basé sur Fluent. Outre ce changement, Microsoft introduit :
  • La fonctionnalité des fichiers recommandés pour vous présenter des fichiers importants en fonction de la façon dont vous travailler et collaborer avec les autres.
  • C’est aussi l’apparition de la carte de fichier et d’Inside Look pour obtenir une vision rapide du document (temps de lecture, points clés, etc.).
  • La vue récente permet de voir les fichiers récemment ouverts, modifiés, etc.
  • La colonne easier to read informera désormais les utilisateurs des modifications, mentions et commentaires invisibles. Les fichiers dans les vues en liste et en mosaïque comportent désormais des indicateurs d'icônes proéminents à proximité de leur nom de fichier pour indiquer plus clairement les tendances du contenu, les fichiers extraits ou le contenu protégé par les stratégies IRM, AP ou MDM.
  • Vous pouvez désormais visualiser les bibliothèques partagées dans OneDrive sur le Web avec le support des métadonnées de fichiers.
• OneDrive se voit doter d’une nouvelle intégration avec Microsoft Flow. Ceci permet de créer et exécuter des modèles Flow directement depuis OneDrive. Il suffit de sélectionner un document et de cliquer sur le bouton Flow dans la barre de commande.  Vous aurez automatiquement les options pour la copie en format PDF et les modèles de flux de demande d'approbation.  Exécutez le flux et d'un simple clic, vous pouvez créer une copie de n'importe quel document pour un PDF ou envoyer une approbation.
• Amélioration du changement d’UPN pour le client de synchronisation OneDrive. A partir de la mise à jour du client de novembre (build 18.212.1021.0008), le client de synchronisation OneDrive (sur Windows et Mac) changera automatiquement pour synchroniser le bon emplacement OneDrive après les changements UPN de l'utilisateur. Pendant que le changement UPN se propage, les utilisateurs peuvent voir un message d'erreur les informant que leur bibliothèque ne peut pas être synchronisée. Les utilisateurs qui voient ce message, doivent redémarrer le client de synchronisation une fois que le changement UPN est terminé.
• Microsoft publie un kit d’adoption pour Microsoft Teams.
• En ce mois de décembre, on retrouve des nouveautés pour Microsoft Teams :
  • Gérez vos Teams directement depuis le centre d'administration : Une liste de tous les Teams de votre organisation est désormais disponible pour tous les clients directement dans le Microsoft Teams et Skype for Business Admin Center. Cliquez simplement sur "Teams" dans la navigation de gauche et sélectionnez "Manage Teams" pour voir cette liste. A partir de là, vous pouvez gérer l'adhésion, ajouter ou supprimer des membres, et modifier les paramètres. De plus, vous pouvez rapidement créer une nouvelle équipe, la personnaliser et ajouter des membres.
  • De nouveaux rôles Azure Active Directory sont maintenant disponibles pour tous les clients. Les utilisateurs peuvent se voir attribuer les rôles d'administration des Teams via le portail d'administration Azure.
  • Automatisez le cycle de vie des Teams avec Graph API.

• Arrivée en Janvier 2019 des tags personnalisés pour OneNote. Avec cette fonctionnalité, les utilisateurs pourront nommer le tag et sélectionner une icône pour créer un tag personnalisé qui se synchronisera entre les périphériques et apparaîtra dans les résultats de recherche de l'application. Ceci vous permet d’ajouter des tags personnalisés à vos pages et rester organisé. Cette nouveauté arrivera d’abord sur OneNote pour Windows 10 et OneNote pour mac

• Les clients qui utilisent les capacités Multi-Geo vont bientôt pouvoir ajouter l’Inde comme emplacement pour stocker au repos les boîtes aux lettres en ligne Exchange et les fichiers OneDrive for Business de leurs utilisateurs, et répondre à leurs besoins globaux en matière de résidence de données.
• Microsoft Office Lens a de nouvelles fonctionnalités :
  • Nouveaux filtres sur iOS : Noir et blanc, ainsi que la possibilité d’ajouter de la clarté, etc.
  • La version Android voit l’arrivée d’une loupe lors de l’utilisation de la fonction rogner pour être sûr de bien viser.
• Il devient possible d'éditer les adresses email Exchange dans les groupes Office 365 en utilisant PowerShell.
• Microsoft a récemment mis à jour l'architecture d'Outlook pour iOS et Android pour supprimer le service intermédiaire, connectant directement Outlook mobile aux services d'arrière-plan Exchange Online, Office 365 compatibles avec FedRAMP. À partir de la mi-janvier, les clients de GCC High et DoD pourront adopter Outlook mobile car cette architecture mise à jour répond à toutes les exigences de FedRAMP DISA SRG L4 (GCC-High) L5 (DoD), Défense Federal Acquisition Regulations Supplement
• Retrait du support de OneDrive pour Mac OS X 10.10 et 10.11.

Communications Unifiées

• On retrouve des nouveautés pour Microsoft Teams spécifiques aux communications unifiées :
  • Group Call Pickup vous permet de créer un groupe personnalisé avec des collègues qui peuvent répondre à des appels.
  • Shared line Appearance vous permet de choisir un délégué pour répondre à l'appel en votre nom.
  • Call Park simplifie le processus de connexion des appelants avec les utilisateurs qui ne sont pas facilement accessibles en utilisant des codes uniques pour aider les utilisateurs ciblés à récupérer les appels en utilisant un client Microsoft Teams.
  • Location-Based Routing vous aide à rester conforme à la réglementation locale en vous permettant de limiter l'acheminement des appels entre les terminaux VoIP et les terminaux RTPC en fonction de la localisation.
• Un article détaillant la stratégie de Microsoft et des partenaires autour des périphériques pour Skype for Business et leur compatibilité avec Microsoft Team.
• Changement dans la manière dont les utilisateurs non licensiés Enterprise Voice effectuent des appels à partir de Microsoft Teams. Cela se produit parce que ces utilisateurs peuvent voir les numéros de téléphone cliquables dans Teams. Lorsqu'ils tentent d'effectuer l'appel, ils reçoivent un message d'erreur générique. 

Collaboration

• Toujours sur Microsoft Teams, de nouvelles intégrations tierces sont disponibles avec :
  • Disco (anciennement connu sous le nom de Growbot) vous aide à bâtir une culture plus forte, à célébrer les réalisations des employés etc.
  • Q est un assistant d'IA qui vous fournit des informations critiques en fonction de ce sur quoi vous travaillez. Il trie des millions d'articles et de sources pour n'en extraire que les plus pertinents.
  • Trello vous permet de rester maître de vos tâches de projet grâce à l'application Trello Personal dans Microsoft Teams. Cette application permet aux utilisateurs d'accéder aux cartes assignées sur tous leurs tableaux Trello pour les différentes équipes où ils contribuent.
  • L'application Site24x7 pour les équipes Microsoft fournit à vos équipes DevOps des outils et des services pour vous aider à éviter les temps d'arrêt, y compris un robot Site24x7 qui fournit des données en temps réel et la possibilité d'ajouter des tableaux de bord personnalisés à un canal Teams.
  • Lucidchart for Microsoft Teams vous aide à rassembler votre équipe pour travailler sur des documents tels que des organigrammes ou des diagrammes de réseau.
  • Decisions for Microsoft Teams permet aux groupes qui se réunissent régulièrement d'avoir de meilleures réunions avec des fonctionnalités clés telles que l'affichage d'une liste des réunions à venir, l'examen des notes de réunion récentes et l'accès aux résultats des réunions passées.
• Microsoft change le comportement par défaut du service content type syndication. Par défaut, les types de contenu ne seront plus publiés sur les sites OneDrive for Business (MySites) dans Sharepoint Online.

Sécurité

• Retrait de 3DES d'Office 365 à partir du 28 février 2019.

L’équipe du support Microsoft Intune vient de signaler un changement qui aura lieu en février 2019 concernant les paramétrages de l’application Safari pour iOS. Ces derniers aujourd’hui dans un espace (Safari) dédié, seront déplacés dans la partie « built in apps » ; là où notamment on retrouve aussi les paramétrages de restriction pour Siri. Ceci permet de configurer l’ensemble des paramétrages de restriction Apple dans un seul groupe.

De plus, Microsoft va déplacer le paramétrage de délai de visibilité des mises à jour iOS dans l’espace device restrictions.

Plus d’informations sur : Support Tip: Multiple configuration settings moving for Intune iOS management  

Microsoft a publié un showcase de Microsoft CSEO (anciennement Microsoft IT) et la façon dont ils utilisent Microsoft Intune et Windows Update for Business (WUfB) pour déployer les mises à jour cumulatives et mises à niveau de Windows 10.

On peut y voir les derniers états des lieux du parc :

• 218 000 périphériques Windows 10 joints au domaine Active Directory et gérés avec System Center Configuration Manager
• 20 000 périphériques Windows 10 joints à Azure AD et gérés avec Microsoft Intune

Le livre blanc aborde notamment les stratégies visant à utiliser le Co-Management pour aller vers la gestion moderne. On y retrouve des éléments sur les bénéfices de Windows Update for Business mais aussi les stratégies à configurer. Microsoft IT aborde l’utilisation de Delivery Optimization (DO) pour optimiser la bande passante. On voit le listing des stratégies configurées et changées par Microsoft IT (batterie, mode de téléchargement, etc.). Enfin, on apprend que Microsoft IT utilise Windows Analytics et Desktop Analytics pour obtenir une vision sur l’état de mise à jour des machines.

La partie la plus intéressante donne une vision des leçons apprises par Microsoft CSEO :

• Il existe actuellement un problème connu où les mises à jour via Windows Update for Business ne prennent pas en compte des blocks d’offre (Offer blocks)
• Lors du déploiement de la version 1809, certains utilisateurs ont raté les notifications de redémarrage engendrant de perte de travail. Ceci a été corrigé avec la version 1809 en forçant l’utilisateur vers l’expérience de redémarrage pour notifier le redémarrage et le planifier.
• Il n’est toujours pas possible de configurer des périphériques pour utiliser Windows Update for Business uniquement pour les mises à jour cumulatives ou les mises à jour de fonctionnalités.
• Windows Update for Business n’utilise pas de séquences de tâches afin d’exécuter des scripts avant ou après l’installation comme cela est possible pour Configuration Manager.

Lire Keeping Windows 10 devices up to date with Microsoft Intune and Windows Update for Business

Microsoft a créé des cours/formations gratuits sur les nouvelles certifications pour Microsoft Azure.

Ces cours couvrent notamment :

• AZ-100: Microsoft Azure Infrastructure and Deployment
  • 15-20% sur la gestion des abonnements et des ressources Azure
  • 20-25% sur l’implémentation et la gestion du stockage
  • 20-25% sur le déploiement et la gestion des machines virtuelles
  • 20-25% sur la configuration et la gestion des réseaux virtuels
  • 15-20% sur la gestion des identités
• AZ-101: Microsoft Azure Integration and Security
  • 15-20% sur l’évaluation et l’exécution de migration de serveur vers Azure
  • 20-25% sur l’implémentation et la gestion des services d’application
  • 30-35% sur les réseaux virtuels avancés
  • 25-30% sur la sécurisation des identités

• AZ-200 : Microsoft Azure Developer Core Solutions
  • Select the appropriate cloud technology solution (15-20%)
  • Develop for cloud storage (30-35%)
  • Create Platform as a Service (PaaS) Solutions (35-40%)
  • Secure cloud solutions (15-20%)
• AZ-201 : Microsoft Azure Developer Advanced Solutions
  • Develop for an Azure cloud model (50-55%)
  • Implement cloud integration solutions (25-30%)
  • Develop Azure Cognitive Services, Bot, and IoT solutions (20-25%)
• AZ-300: Microsoft Azure Architect Technologies (beta)
  • Deploy and Configure Infrastructure (25-30%)
  • Implement Workloads and Security (20-25%)
  • Architect Cloud Technology Solutions (5-10%)
  • Create and Deploy Apps (5-10%)
  • Implement Authentication and Secure Data (5-10%)
  • Develop for the Cloud (20-25%)
• AZ-301: Microsoft Azure Architect Design (beta)
  • Determine Workload Requirements (10-15%)
  • Design for Identity and Security (20-25%)
  • Design a Data Platform Solution (15-20%)
  • Design a Business Continuity Strategy (15-20%)
  • Design for Deployment, Migration, and Integration (10-15%)
  • Design an Infrastructure Strategy (15-20%)

Accéder aux cours

En outre, voici des guides proposés par Stanislas Quastana sur les certifications de transition:

• Preparation Guide for Microsoft AZ-102 Microsoft Azure Administrator Certification Transition
• Preparation Guide for Microsoft AZ-302 Microsoft Azure Solutions Architect Certification Transition

Mike Griswold (MSIT) a publié un billet sur les évolutions possibles de l’infrastructure System Center Configuration Manager utilisée par Microsoft pour gérer son parc informatique.

• Microsoft IT a migré sa propre infrastructure dans Microsoft Azure. Après quelques mois d’utilisation, Microsoft va réduire les tailles de certaines machines virtuelles utilisées afin d’économiser et de mieux coller aux besoins.
• Microsoft IT a été un pilote lors du développement de la Cloud Management Gateway. Par conséquent, cette dernière fonctionne toujours dans mode Azure Classic Services. Microsoft utilise aussi des Cloud Distribution Points séparés. Microsoft réfléchit donc à remplacer ces composants par les nouveaux services ARM proposés et de coupler CMG et CDP.
• Microsoft IT réfléchit à dynamiquement adapter la configuration des machines virtuelles en fonction des besoins pour certains systèmes de site (Management Points, Distribution Points, etc.)
• Microsoft IT avait dédié la connexion des CMGs à certains Management Points. Après la correction de bugs, Microsoft IT va pouvoir retirer le Management Point et faire pointer la CMG sur l’architecture de Management Points existants.
• Microsoft IT utilisait encore des Internet Load Balancers pour les serveurs Software Update Points/WSUS. L’objectif serait d’utiliser la fonctionnalité interne de gestion de la liste des Software Update Points.
• Avec l’utilisation de plus en plus important du Co-Management, de Microsoft Intune et de l’enregistrement Azure AD, Microsoft IT réfléchit à consolider des sites.
• Microsoft IT ayant de très bons résultats avec la fonctionnalité Peer Cache, l’équipe réfléchit à retirer de nombreux Distribution Points en limitant un seul DP par site. L’objectif est aussi de retirer les rôles du catalogue d’applications qui sont maintenant nativement gérés par le rôle Management Point. Microsoft IT réfléchit aussi à réduire le nombre de MPs à un ou deux par site.
• Enfin, Microsoft IT continue de transférer des éléments via le Co-Management vers Micorsoft Intune.

Source : https://blogs.technet.microsoft.com/system_center_in_action/2018/12/20/new-year-new-plans/

SQL Server Management Studio a été décorrélé de l’installation de SQL Server depuis la version 2016, il est maintenant possible de télécharger l’outil séparément. La version 18.0 est disponible en préversion 6 et permet de se connecter de SQL Server 2008 à SQL Server 2017.

Cette nouvelle Preview ajoute une logique pour demander à l'utilisateur de valider les transactions ouvertes lorsque "Changer connection" est utilisé. En outre, on retrouve des corrections de bugs divers et variées.

Plus généralement, cette version apporte les changements suivants :

• Support de SQL Server 2019
• Support des instances gérées Azure SQL (Azure SQL Managed Isntance)
• Support des bases de données Azure SQL Database.
  • SLO/Edition
  • Support pour les nouveaux SKUs Azure SQL
• Support d’Always Encrypted avec les enclaves sécurisées
• Support d’UTF8 sur les fenêtres de classement/collation
• Amélioration du Shell :
  • SSMS est basé sur le nouveau Isolated Shell de VS 2017. Cela signifie un shell moderne qui déverrouille toutes les fonctions d'accessibilité de SSMS et de VS 2017.
  • Taille de téléchargement plus petite (~400 Mo). C'est moins de la moitié de la taille de SSMS 17.x.
  • SSMS peut être installé dans un dossier personnalisé. Actuellement, ceci n'est disponible que sur la configuration en ligne de commande. Passez l'argument supplémentaire à SSMS-Setup-ENU.exe, SSMSInstallRoot = C:\MyFolder
  • Prise en charge des résolutions élevées par défaut.
  • Meilleure prise en charge des configurations avec plusieurs écrans pour s'assurer que les boîtes de dialogue et les fenêtres apparaissent sur le moniteur attendu.
  • Isolement du moteur SQL. SSMS ne partage plus de composants avec le moteur SQL. L’isolation par rapport au moteur SQL permet des mises à jour plus fréquentes.
  • Les Identifiatns de Package ne sont plus nécessaires pour développer des extensions SSMS.
• Amélioration des fonctionnalités existantes :
  • Changement du mode d'authentification des Storage Account Key à Azure AD.
  • L’option de configuration AUTOGROW_ALL_FILES pour les groupes de fichiers est disponible.
  • Suppression des options "lightweight pooling" et "priority boost" de l'interface graphique car elles sont dépréciées depuis longtemps.
  • Utilisation de "Windows Credential Manager" pour le stockage des mots de passe MRU de la boîte de dialogue de connexion.
  • Exposition de la propriété "backup checksum default" dans la page Default Settings sous Server Properties.
  • Ajout du temps réel écoulé, des lignes réelles et des lignes estimées sous Afficher le nœud Show Plan, si elles sont disponibles. Cela permettra au plan réel d'être cohérent avec le plan Live Query Stats.
  • Modification de l'info-bulle et ajout d'un commentaire pour Show Plan. Le bouton Modifier la requête pour indiquer que le texte de la requête peut être tronqué s'il comporte plus de 4000 caractères.
  • Ajout de la logique pour l'affichage de "Materializer Operator (External Select)".
  • Ajout d'un nouvel attribut "BatchModeOnRowStoreUSed" pour identifier facilement les requêtes qui utilisent la fonction "batch-mode scan on rowstores".
  • Rehash de RTO (Estimated Recovery Time) et RPO (Estimated data loss) dans le tableau de bord SSMS AlwaysOn.
  • SMO
    • Amélioration des performances des scripts
    • Extension de la prise en charge par l'OMU de la création d'index réutilisables
    • Ajout d'un nouvel événement sur les objets SMO ("Property Missing") pour aider les auteurs d'applications à détecter plus rapidement les problèmes de performance SMO
    • Exposition de nouvelle propriété DefaultBackupCheckCheckSum sur l'objet Configuration qui correspond à "backup checksum default" dans la configuration de serveur
  • Plusieurs corrections de bugs dans les domaines suivants en plus des plantages :
    • XEvents
    • Options SSMS
    • Editeur SSMS
    • Explorateur d'objets
    • Sauvegarde/Restauration/Attacher/Détacher la base de données
    • Support général d’Azure SQL DB

Microsoft a aussi déprécié les fonctionnalités suivantes :

• Diagramme de base de données
• TSQL Debugger.exe
• Interface d'administration Dreplay
• Outils Configuration Manager, SQL Server Configuration and Reporting Server Configuration Manager

Plus d’informations sur la Release Notes

Télécharger SQL Server Management Studio (SSMS) 18.0 Preview

L’équipe SCVMM a publié un billet sur son blog pour parler d’un problème lorsque vous installez une des mises à jour suivantes : ‘KB4467684‘, ‘KB4478877‘, ‘KB4471321‘ ou ‘KB4483229’ sur un hôte Windows Server 2016. Dans ce cas de figure, il n’est pas possible d’énumérer ou gérer les switchs logiques déployés sur l’hôte.

Vous observez les symptômes suivants en ouvrant les propriétés d’un Virtual Switch sur cet hôte :

• VMM lève une erreur ‘An uplink port profile set was not specified on the host network adapter <NetworkAdapterName> and was not supplied with Logical switch <LogicalSwitchName>’
• Le menu déroulant Uplink Port Profile apparaît vide sur un Virtual Switch de la page Virtual Switch – Logical Switch configuration.

Ce problème survient car les mises à jour annulent l'enregistrement des classes WMI suivantes utilisées par VMMAgent pour énumérer et gérer les commutateurs logiques déployés sur l'hôte.

En exécutant la commande suivante sur l’hôte, vous n’obtenez pas de résultats :

Get-CimClass -Namespace root/virtualization/v2 -classname *vmm*

Vous devez reconstruire les classes WMI via les commandes mofcomp suivantes :

• Mofcomp “%systemdrive%\Program Files\Microsoft System Center 2016\Virtual Machine Manager\setup\scvmmswitchportsettings.mof”
• Mofcomp “%systemdrive%\Program Files\Microsoft System Center 2016\Virtual Machine Manager\DHCPServerExtension\VMMDHCPSvr.mof”

Source : https://blogs.technet.microsoft.com/scvmm/2018/12/21/system-center-virtual-machine-manager-fails-to-enumerate-and-manage-logical-switch-deployed-on-the-host/

Microsoft vient de publier une mise à jour du Management Pack (10.0.9.1) pour superviser le serveur Web IIS 10 de Windows Server 2016 et Windows Server 1709 ou plus. Microsoft a décorrélé IIS 10 des Management Packs précédents. Ce Management Pack n’est supporté que sur un environnement System Center 2012 Operations Manager et plus. Il supporte aussi la supervision de Nano Server. Pour rappel, System Center Operations Manager (SCOM) fait partie de la gamme System Center, il propose une supervision souple et évolutive de l’exploitation au niveau de toute l’entreprise, réduisant la complexité liée à l’administration d’un environnement informatique, et diminuant ainsi le coût d’exploitation. Ce logiciel permet une gestion complète des événements, des contrôles proactifs et des alertes, et assure une gestion des services de bout en bout. Il établit des analyses de tendance et des rapports, et contient une base de connaissances sur les applications et le système.

Le Management Pack supervise les éléments suivants :

• Les sites Web
• Les pools d’application
• Les serveurs FTP
• Les serveurs NNTP
• Les serveurs SMTP

Voici les changements introduits :

• Rebranding des chaînes d'affichage et des articles de la base de connaissances en fonction des versions prises en charge des systèmes d'exploitation : Microsoft Windows Server 2016 et 1709+.
• Correction d'un bug : Avec de fausses alertes générées quand IIS est désinstallé.
• Changement du type de cible pour le service Start/Stop Web Management vers "IIS 10 Server Role Hosts WMSvc Service".

Lisez le guide pour implémenter et obtenir plus d’information sur ce qui est supervisé par défaut ou ce qui doit être activé via des overrides.

Télécharger Microsoft System Center Management Pack for Internet Information Service 2016 and 1709 Plus

Microsoft vient de publier une nouvelle version (10.0.6.6) le pack d’administration ou Management Pack (MP) SCOM pour la fonctionnalité de Cluster. Cette version a complétement été réécrite pour l’arrivée de Windows Server 2016 et Windows Server 1709 ou plus. Elle supporte Windows Server 2016 uniquement et ne fonctionne qu’avec System Center 2012 R2 Operations Manager et plus.
Pour rappel, System Center Operations Manager (SCOM) fait partie de la gamme System Center, il propose une supervision souple et évolutive de l’exploitation au niveau de toute l’entreprise, réduisant la complexité liée à l’administration d’un environnement informatique, et diminuant ainsi le coût d’exploitation. Ce logiciel permet une gestion complète des événements, des contrôles proactifs et des alertes, et assure une gestion des services de bout en bout. Il établit des analyses de tendance et des rapports, et contient une base de connaissances sur les applications et le système.

Cette version apporte les changements suivants :

• Correction d'un problème : La vue des groupes de ressources affiche simultanément des Clusters 2012 et 2012 R2.
• Changement de la logique de supervision des Availability Storage groups:
  • Si l'état du groupe était vide ou hors ligne, le moniteur n'a pas changé d'état.
  • Si l'état du groupe était partiellement en ligne, le moniteur n'est pas passé à l'état d'avertissement.
  • Si le disque physique était dans l'état hors ligne, le moniteur n'a pas changé d'état de OK à Critique.
• Correction d'un problème avec la découverte du réseau et des interfaces réseau dans le cas où le nom de l'interface réseau du cluster était plus long que ~40 caractères et contenait des caractères'-'.
• Correction d'un problème : L'exécution des tâches Cluster Resource échouait si cluster.exe n'était pas installé.
• Correction d'un problème : Les interfaces réseau du cluster n'ont pas été découvertes sur Windows Server 2008 Core.
• Correction d'un problème : Les interfaces réseau du cluster n'ont pas été entièrement découvertes sur Windows Server 2016 Standard.
• Correction d'un problème : Les interfaces réseau du cluster n'ont pas été découvertes sur Windows Server 2016 Nano.
• Correction d'un problème : Les tâches n'avaient pas de résultats sur Windows Server 2016 Nano.
• Correction d'un problème : Les tâches "Pause Node" et "Resume Node" ont des résultats inattendus.
• Ajout de la prise en charge des tâches des groupes de ressources avec des noms contenant des symboles réservés WMI.
• Correction d'un problème : Les ressources du cluster n'étaient pas découvertes si le cluster avait un rôle de serveur de fichiers.
• Correction d'un problème : Les groupes de ressources du cluster n'ont pas pu être déplacés vers un autre nœud en raison de l'échec de la tâche "Move group".
• Correction d'un problème : La tâche de diagnostic " Check Cluster Group " ne fonctionnait pas sur les plates-formes Windows Server 2003-2008 R2 sans PowerShell, et sur Windows Server 2012 et versions ultérieures sans les PowerShell et les cmdlets Cluster installés.
• Correction d'un problème : Si un nom d'objet de cluster contenait des symboles réservés WMI, la surveillance de cet objet de cluster ne fonctionnait pas.
• Ajout du support des ressources avec des noms longs (jusqu'à 4000 symboles).
• Correction d'un problème : L'événement d'alerte "10000" s'est produit sur toutes les plates-formes si la découverte n'a pas retourné les données.
• Correction d'un problème : Plusieurs tâches de ressources ne fonctionnent pas si Cluster.exe n'est pas installé.
• Mise à jour des chaînes d'affichage.

Lisez le guide associé au Management Pack pour mettre en œuvre la supervision et activer les règles nécessaires.

Télécharger Microsoft System Center Management Pack for Windows Server Cluster 2016 and 1709 Plus

Microsoft vient de mettre à jour le Management Pack (10.0.0.0) pour superviser le rôle File & iSCSI Services sur Windows Server 2016 et Windows Server 1709 ou plus. Ce Management Pack n’est supporté que sur System Center 2016 Operations Manager ou plus. Pour rappel, System Center Operations Manager (SCOM) fait partie de la gamme System Center, il propose une supervision souple et évolutive de l’exploitation au niveau de toute l’entreprise, réduisant la complexité liée à l’administration d’un environnement informatique, et diminuant ainsi le coût d’exploitation. Ce logiciel permet une gestion complète des événements, des contrôles proactifs et des alertes, et assure une gestion des services de bout en bout. Il établit des analyses de tendance et des rapports, et contient une base de connaissances sur les applications et le système.

Le Management Pack apporte les changements suivants :

• DeDuplication
• FSRM
  • Support des namespaces clusterisés
  • Support des membres de groupe de réplication clusterisés
  • Supervision AgentLess
  • Plus de détails dans la base de connaissances
• iSCSI
• NFS
• SMB
• Work Folders
• DFS Namespaces
• DFS Replication

Lisez le guide pour implémenter et obtenir plus d’information sur ce qui est supervisé par défaut ou ce qui doit être activé via des overrides.

Télécharger System Center 2016 Management Pack for Microsoft Windows Server File & iSCSI Services 2016 and 1709 Plus

Voici le récapitulatif des annonces faites par Microsoft concernant sa plateforme Microsoft Azure.

Parmi les annonces, on retrouve notamment :

General

• Azure Container Service sera retiré le 31 Janvier 2020. Ce service doit être remplacé en privilégiant Azure Service Fabric et Azure Kubernetes Service.

Azure MarketPlace

• Les nouvelles offres suivantes ont été publiées en Novembre :
  • Machines virtuelles : CIS Ubuntu Linux 18.04 LTS Benchmark L1, Couchbase Enterprise, CyberPosture Intelligence 1-Month - Trial, CyberPosture Intelligence Annual BYOL, FlashGrid SkyCluster for Oracle RAC, IO - Azure Blob/Amazon S3 Data Migration, Flexify.IO - Multi-Cloud Storage, Oncore!DOCS, Powered by Nextcloud, ont_dev_platform, Panzura Freedom CloudFS 7.2.2.0 (EARLY ACCESS), Phishing Frenzy on Ubuntu Server, RSA NetWitness Platform 11.2, Scai Analytics & Database Management Web Platform, scalearc, Serverless360, SFTP Secure Server Windows 2016 OpenSSH, Topicus KeyHub, Ubuntu Server 16.04 LTS + Azure IoT Edge runtime, VisualBase et VisualRM.
  • Applications Web : Couchbase Server Enterprise Container, DigiCert Code-Signing Certificates Listing, Exact Lightweight Integration Server, et QuotaGuard Static IPs.
  • Container solutions : Git Container Image.

Azure Storage

• La version 4.2.0.0 de l’agent Azure File Sync est disponible.

Azure Active Directory

• Public Preview des pages de contrat en Javascript pour définir une version spécifique d'éléments pour Azure AD B2C afin de fournir vos politiques.

Operations Management Suite

Azure Backup

• Microsoft propose maintenant la restauration en place de disques dans les machines virtuelles IaaS Azure. Ceci permet d’éviter de devoir recréer la machine virtuelle en cas de corruption d’un disque. Vous pouvez donc maintenant remplacer un disque existant.

Azure Site Recovery

• L’équipe a publié un billet pour éclaircir les coûts relatifs à l’usage d’Azure Site Recovery.
• Disponibilité Générale de la restauration en cas de désastre des machines virtuelles déployées dans des zones de disponibilité vers d’autres régions du même cluster géographique en utilisant Azure Site Recovery. Cette nouvelle capacité est généralement disponible dans toutes les régions supportant les zones de disponibilité. Avec les Availability Sets et les Availability Zones, Azure Site Recovery complète le spectre de solution disponible.

• Vous pouvez gérer la mise à jour des agents Azure Site Recovery de manière automatique. Ceci peut se faire via les paramétrages de mises à jour des extensions pour les machines virtuelles.

Azure SQL

• Disponibilité Générale des VNET Service Endpoints pour Azure SQL Data Warehouse. Ces derniers permettent d'isoler la connectivité à votre serveur à partir d'un sous-réseau donné ou d'un ensemble de sous-réseaux dans votre réseau virtuel. Le trafic vers Azure SQL Data Warehouse à partir de votre VNet restera toujours dans le réseau fédérateur Azure. Cette route directe sera préférée à toutes les routes spécifiques qui prennent le trafic Internet à travers des appliances virtuelles ou sur site. Il n'y a pas de facturation supplémentaire pour l'accès au réseau virtuel par l'intermédiaire des service endpoints.
• Public Preview des VNET Service Endpoints pour Azure Database for MariaDB. Comme expliqué précédemment, ces derniers permettent d’isoler et sécuriser les communications.
• Disponibilité Générale d’Azure Database for MariaDB.
• Il est maintenant possible d’aller jusqu’à 64 vCores dans le niveau General Purpose et 32 vCores dans le niveau Memory Optimized pour les services Azure Database pour MySQL et Azure Database pour PostgreSQL.
• Azure Comsos DB : Le débit fourni au niveau de la base de données commence maintenant à 400 RU/s par base de données et peut être partagé entre tous les conteneurs d'une base de données. Le débit peut être échelonné par palier de 100 RU/s. Le provisionnement du débit au niveau de la base de données peut se traduire par des économies pour les bases de données comportant plusieurs conteneurs, par rapport au provisionnement du débit pour chaque conteneur individuellement. De plus, les utilisateurs d'Azure Cosmos DB dans le cadre d'un compte Azure gratuit peuvent maintenant utiliser le provisionnement de base de données dans le cadre de leur essai de 12 mois.
• Azure SQL Database Managed Instance fournit un niveau de service Business-critical basé sur des super-SSD et des replica AlwaysON.

Azure Data Lake

• Nouvelle Preview d’Azure Data Lake Storage Gen2 avec plus de fonctionnalités :
  • Fonctions de sécurité intégrées dans Azure Databricks et Azure HDInsight avec notamment RBAC, POSIX-compliant Access Control Lists (ACLs)
  • Support d'Azure Storage Explorer pour visualiser et gérer les données des comptes ADLS Gen2, incluant l'exploration des données et la gestion du contrôle d'accès.
  • Support de la connexion de tables externes dans SQL Data Warehouse, y compris lorsque les pare-feu de stockage sont actifs sur le compte.
  • Power BI et SQL Data Warehouse supportant le modèle de données commun pour les entités stockées dans ADLS Gen2
  • Intégration de pare-feu de stockage et de règles de réseau virtuel pour tous les services d'analyse
  • Chiffrement des données au repos à l'aide de clés Microsoft ou fournies par le client, ainsi que le chiffrement en transit via TLS 1.2.
  • Possibilité de monter un système de fichiers ADLS Gen2 dans Databricks File System (DBFS).

Azure IoT

• Le SDK Azure IoT Java fournit un support amélioré d’Android avec notamment la publication de tests unitaires, de tests d’intégration, de nouveaux exemples, etc..

Autres services

• Support de Python (3.6) par Azure Functions 2.0.
• Azure Service Fabric Mesh se voit doter d’autres nouveautés :
  • Mise à l’échelle automatique des stateless instances.
  • Support des ressources secrètes, réseau, passerelle et volume.
  • Support des inline secrets
  • Support des entrées multiples et du routage.
  • Support pour le montage d’Azure Files et Service Fabric Reliable Volumes sur les conteneurs.

Microsoft va proposer un événement de questions/réponses avec différents ingénieurs et product managers de Windows, Windows Defender ATP, System Center Configuration Manager, Microsoft Intune, Microsoft Edge et Microsoft 365. Cet évènement aura lieu en live le jeudi 13 décembre 2018 de 18h à 19h (heure française). Vous pourrez commencer à poser vos questions à partir du 12 décembre 18h (heure française). Ask Microsoft Anything est une belle opportunité pour poser des questions sur Windows 10 avec une réponse directe.

• Mode auto-déploiement (Self-Deploying) de Windows Autopilot et Windows Autopilot pour les périphériques existants
• Mise en œuvre des capacités de Windows Defender ATP
• Stratégies, conseils et bonnes pratiques pour la gestion de Windows as-a-Service et des mises à jour
• Les dernières stratégies Microsoft Edge, y compris le mode kiosque
• Les offres intégrées, telles que Microsoft Threat Protection, Microsoft Secure Score et le portail d’administration Microsoft 365.

Pour s’inscrire : http://aka.ms/ama/1809

Microsoft peaufine son outil de packaging et vient de mettre à disposition une nouvelle préversion (1.2018.1115.0) de l’outil de packaging MSIX (MSIX Packing Tool) depuis le Microsoft Store. Cet outil permet de prendre un package d’application Win32 existant et de la convertir au format MSIX. Vous utilisez pour cela une machine de référence pour exécuter l’outil et obtenir le package MSIX que vous pouvez ensuite déployer à la main, par votre outil de télédistribution ou depuis le Microsoft Store.

Pour rappel, le format MSIX est un nouveau format standardisé lancé par Microsoft pour remplacer l’ensemble des formats de packaging existants tout en bénéficiant des avancés des différentes solutions : Click-To-Run (C2R), App-V, APPX et plus généralement du Framework d’applications universelles (UWP). Il offre donc des mécanismes de conteneurisation et les bénéfices des applications universelles avec une installation, mise à jour et désinstallation aisée sans laisser aucune trace sur le système. Il fournit aussi des mécanismes de sécurisation avancés permettant de valider l’intégrité du code exécuté. Ce format permet aussi de créer des personnalisations pour les applications packagées et de les faire perdurer au travers des différentes mises à jour de l’application.

Cette préversion ajoute les fonctionnalités :

• Amélioration du temps de packaging
• Mise à jour de la liste d'exclusion des fichiers par défaut
• Ajout du support des installations manuelles à partir de PowerShell ISE
• Ajout du support de la déclaration des scripts PowerShell en tant qu'installateur
• Correction d'un problème où la validation des exigences de la version Store échouait dans CLI
• Correction d'un problème où l'outil n'acceptait pas les chemins de fichiers dans les citations
• Correction d'un problème où la VM n'était pas nettoyée correctement après la conversion
• Correction d'un problème où l'ajout de fichiers aux paquets dans l'éditeur de paquets ne fonctionnait pas correctement
• Intégration des journaux/erreurs MSIExec dans les rapports d'outils

Pour accéder à l’outil, vous devez :

• Participer au programme Windows Insider Fast ou Slow Ring
• Avoir Windows 10 17701 ou plus
• Avoir les droits d’administrateur sur la machine
• Avoir un compte Microsoft pour accéder au Microsoft Store.

Plus d’informations sur : MSIX Packaging Tool (Preview) is now available from the Microsoft Store

Plus d'éléments sur le format MSIX sur MSIX Intro

Télécharger MSIX Packing Tool

Microsoft vient d’annoncer la version finale des baselines de paramétrages de sécurité pour Windows 10 1809 (Windows 10 October 2018 Update/RS5) et Windows Server 2019. On y retrouve les nouveaux paramétrages de cette nouvelle Build. Ces dernières s’utilisent avec Security Compliance Toolkit (SCT). Les lignes de base permettent de vérifier la conformité d’une application vis-à-vis des bonnes pratiques et recommandations Microsoft. Microsoft annonce l’arrivée des baselines sous forme de paramètres MDM prochainement.

Microsoft a remplacé les fichiers batch (.cmd) permettant d’appliquer les baselines localement par un seul script PowerShell qui peut être appelé avec le paramètre adéquat : .\BaselineLocalInstall.ps1 [-Win10DomainJoined] [-Win10NonDomainJoined] [-WS2019Member] [-WS2019NonDomainJoined] [-WS2019DomainController]

En outre, la documentation a été revue avec :

• MS Security Baseline Windows 10 v1809 and Server 2019.xlsx : un fichier Excel regroupant tous les paramètres de stratégies de groupe publiés avec Windows 10 1809 et Server 2019.
• Un ensemble de fichiers Policy Analyzer.
• Un fichier Excel BaselineDiffs-to-v1809-RS5-FINAL.xlsx qui liste les différences avec les baselines précédentes.
• Windows 10 1803 to 1809 New Settings.xlsx qui liste tous les paramétrages disponibles dans 1809 et ajoutés depuis la 1803.
• Server 2016 to 2019 New Settings.xlsx qui liste tous les paramétrages disponibles dans Server 2019 et ajoutés depuis Server 2016.

Voici les différences avec la baseline pour Windows 10 1703 :

• Ajout de deux nouvelles règles de réduction de la surface d'attaque dans Windows Defender Exploit Guard : "Block Office communication applications from creating child processes" (qui inclut Outlook), et "Block Adobe Reader from creating child processes". Ces deux n’étaient pas présentes dans les baselines brouillon.
• Depuis les baselines brouillon, le paramètre "Désactiver l'impression sur HTTP" dans "Computer Configuration\Administrative Templates\System\Internet Communication Management\Internet Communication settings" a été supprimé. Ce paramètre figurait dans les baselines depuis au moins aussi longtemps que Windows XP en raison de la croyance erronée qu'il faisait la distinction entre HTTP et HTTPS. L'activation de ce paramètre désactive également l'impression via HTTPS, ce qui casse des fonctionnalités légitimes et nécessaires sans aucun avantage en termes de sécurité.
• Le paramètre MS Security Guide protégeant contre les applications potentiellement indésirables (PUA) a été déprécié, et est maintenant implémenté avec un nouveau paramètre sous Computer Configuration\...\Windows Defender Antivirus.
• Activation du paramètre "Encryption Oracle Remediation" ce qui avait déjà été envisagé pour la v1803. À l'époque, Microsoft craignait que cela impacte trop de systèmes qui n'avaient pas encore été mis à jour.
• Modifications de Virtualization-Based Security (utilisés par Credential Guard et Code Integrity) :
  • "Platform Security Level" est passé de "Secure Boot and DMA Protection" à "Secure Boot". Si le matériel du système ne prend pas en charge la protection DMA, la sélection de "Secure Boot and DMA Protection" empêche Credential Guard de fonctionner. Si vous pouvez affirmer que vos systèmes prennent en charge la fonction de protection DMA, choisissez l'option la plus forte. Microsoft a choisi "Secure Boot" (uniquement) dans la baseline pour réduire la probabilité que Credential Guard ne fonctionne pas.
  • Activation du nouveau paramètre System Guard Secure Launch qui activera Secure Launch sur un nouveau matériel compatible. Secure Launch change la façon dont Windows démarre pour utiliser les fonctions Intel Trusted Execution Technology (TXT) et Runtime BIOS Resilience pour empêcher les exploits du firmware d'avoir un impact sur la sécurité de l'environnement Windows Virtualization Based Security.
  • Désactivation de l'option "Require UEFI Memory Attributes Table".
  • Suppression de Credential Guard de la baseline du contrôleur de domaine, tout en conservant le reste des paramètres VBS. Ceci est implémenté dans une nouvelle GPO uniquement pour les DC nommé "MSFT Windows Server 2019 - Domain Controller Virtualization Based Security".
• Activation de la nouvelle fonction de protection DMA du kernel. La stratégie « External device enumeration" détermine s'il faut énumérer les périphériques externes qui ne sont pas compatibles avec le mappage DMA. Les appareils compatibles avec la cartographie DMA sont toujours énumérés.
• Suppression du paramètre BitLocker, "Allow Secure Boot for integrity validation", car il ne faisait que renforcer un défaut qui ne serait probablement pas modifié même par un administrateur mal avisé.
• Suppression du paramètre BitLocker, "Configure minimum PIN length for startup", car les nouvelles fonctions matérielles réduisent le besoin d'un code PIN de démarrage.
• Depuis la version préliminaire, Microsoft a supprimé "Prevent users from modifying settings" de "Computer Configuration\Administrative Templates\Windows Components\Windows Security\App and browser protection", car elle ne faisait que renforcer un défaut que les non-administrateurs ne pouvaient remplacer.
• Activation du nouveau paramètre Microsoft Edge pour empêcher les utilisateurs de contourner les messages d'erreur de certificat, ce qui aligne Edge sur un paramètre similaire pour Internet Explorer.
• Suppression du blocage de la gestion des demandes d'authentification PKU2U, car cette fonctionnalité est de plus en plus nécessaire.
• Suppression de la configuration de l'attribution des droits d'utilisateur "Create symbolic links", car elle ne faisait qu'imposer une valeur déjà massivement utilisée, n'était pas susceptible d'être modifiée par un administrateur malavisé ou à des fins malveillantes, et doit être modifiée à une valeur différente lorsque Hyper-V est activé.
• Suppression des restrictions de refus de connexion contre le groupe Invités (Guest) : par défaut, le compte Invité est le seul membre du groupe Invités, et le compte Invité est désactivé. Seul un administrateur peut activer le compte Invité ou ajouter des membres au groupe Invités.
• Suppression de la désactivation du service xbgm ("Xbox Game Monitoring"), car il n'est pas présent dans Windows 10 v1809. (D'ailleurs, les services grand public tels que les services Xbox ont été supprimés de Windows Server 2019 avec Desktop Experience !)
• Création et activation d'un nouveau paramètre MS Security Guide personnalisé pour la baseline du contrôleur de domaine, "Extended Protection for LDAP Authentication (Domain Controllers only)", qui configure la valeur de registre LdapEnforceChannelBinding.
• Les baselines Server 2019 reprennent tous les changements accumulés dans les quatre versions de Windows 10 depuis Windows Server 2016.

Plus d’informations sur l’article suivant : https://blogs.technet.microsoft.com/secguide/2018/11/20/security-baseline-final-for-windows-10-v1809-and-windows-server-2019/

Télécharger Windows-10-1809-Security-Baseline-FINAL

Par le biais d’un message (MC148271), Microsoft a communiqué qu’à partir de décembre 2019, Microsoft Intune ne supportera plus que l’enregistrement des périphériques macOS X 10.12 et plus. La version de mac OS X 10.11 (El Capitan) ne pourra plus être enregistrée mais continuera d’être gérées si elles ont déjà été enregistrée avant.

La version 10.12 est supportée sur les périphériques suivants :

• MacBook (Après 2009 ou plus).
• iMac (Après 2009 ou plus)
• MacBook Air (Après 2010 ou plus).
• MacBook Pro (Après 2010 ou plus).
• Mac Mini (Après 2010 ou plus).
• Mac Pro (Après 2010 ou plus).

Pour identifier ces versions, vous pouvez :

• Vous connecter au portail Azure
• Naviguer dans Devices > All Devices
• Filtrer sur la version du système d’exploitation.

Microsoft vient de publier la version 1.41.51.0 du client Azure Information Protection. Parmi les changements sur le client, on retrouve :

• Support du reporting centralisé pour la fonctionnalité Azure Information Protection analytics annoncée à l’Ignite.
• Excel supporte désormais également les marquages visuels de différentes couleurs.
• Pour les déploiements S/MIME existants, un nouveau paramètre client avancé (en Preview) permet de configurer un label afin d'appliquer automatiquement la protection S/MIME dans Outlook.
• Un nouveau paramètre client avancé, comme alternatif à l'édition du registre pour empêcher les invites d’identification pour le service Azure Information Protection pour les ordinateurs déconnectés.
• Le client Azure Information Protection n'exclut plus les extensions de noms de fichiers.msg,.rar et.zip pour les commandes File Explorer (clic droit) et PowerShell. Toutefois, ces extensions de nom de fichier restent exclues par défaut pour le scanner.
• Le paramètre client avancé, RunPolicyInBackground, qui active la classification pour qu'elle s'exécute en permanence en arrière-plan, fonctionne comme documenté.
• Le client Azure Information Protection peut déprotéger plusieurs fichiers (multi-sélection et un dossier qui contient des fichiers protégés) lorsque vous utilisez l'Explorateur de fichiers, faites un clic droit.
• Pour Excel :
  • Des repères visuels sont maintenant appliqués si vous sauvegardez la feuille de calcul pendant l'édition d'une cellule.
  • Excel 2010 : Lorsqu'une feuille de calcul est protégée en utilisant le niveau d'autorisation Co-Author, le bouton Supprimer le label  est maintenant disponible lorsque vous cliquez avec le bouton droit de la souris sur le fichier et choisissez Classifier et protéger.
• Le paramètre avancé du client ExternalContentMarkingToRemove, qui permet de supprimer les en-têtes et les pieds de page d'autres solutions d'étiquetage, prennent désormais en charge les modèles personnalisés.

Parmi les changements sur le scanneur, on retrouve 

• Lorsque la planification du scanner est réglée sur Always, il y a maintenant un délai de 30 secondes entre les scans.

Télécharger Azure Information Protection Client

Microsoft vient de communiquer un message (MC165575) concernant la dépréciation du connecteur Exchange Online vers Microsoft Intune. L'option de création d'un nouveau connecteur sera grisée à la fin décembre et les connecteurs existants seront obsolètes à la fin février. Les clients touchés par le changement ont été avisés dans le centre de messages.

Ce changement est justifié pour simplifier votre expérience avec Exchange Online et l'accès conditionnel. Ce connecteur, de par son affichage dans la console, apparaît nécessaire pour l'accès conditionnel (AC), alors qu'en réalité, il n'est pas nécessaire pour l'accès conditionnel. Avec la mise à jour de décembre du service Intune, pour que cela soit clair dans la console, le bouton sera désactivé pour installer de nouveaux connecteurs. Ensuite, en février 2019, tous les connecteurs Exchange Online to Intune existants seront désactivés.

Si vous utilisez ces connecteurs dans votre environnement, vous ne pourrez pas surveiller ou effacer les périphériques Exchange Active Sync uniquement dans Intune après que les connecteurs auront été désactivés en février. Il n'y a pas d'impact prévu pour vos utilisateurs finaux durant ce changement.

En solution de repli, vous disposez des options suivantes :

• Enregistrer les périphériques à la gestion des appareils mobiles (MDM)
• Utiliser les stratégies de protection applicatives d'Intune pour gérer vos périphériques
• Utiliser les contrôles Exchange.

Microsoft vient de mettre à disposition la version finale (5.00.8740.1000) de System Center Configuration Manager 1810. ConfigMgr a subi une refonte de sa structure pour permettre des mises à jour aisées de la même façon que l’on peut le voir avec Windows 10. C’est pourquoi la fonctionnalité Updates and Servicing (nom de code Easy Setup) a été introduite. Vous devez donc utiliser cette dernière pour mettre votre site System Center Configuration Manager 1706. Si vous utilisez System Center 2012 Configuration Manager, vous devez mettre à jour votre site vers System Center Configuration Manager 1702 avant de pouvoir passer à cette version.

Note : Un script PowerShell est disponible pour permettre d’opter pour la première vague de déploiement.

System Center Configuration Manager 1810 comprend les nouveautés suivantes :

Administration

• Support de Windows Server 2019 et Windows Server 1809 comme systèmes de site (et non pas Serveur de site).
• La fonctionnalité de haute disponibilité supporte maintenant les hiérarchies (CAS et sites primaires enfants) en mode passif.
• Vous pouvez maintenant spécifier le niveau d’authentification minimum pour accéder à la console d’administration Configuration Manager. Ceci se configure dans Administration – Hierarchy Settings et l’onglet Authentication.
• Amélioration de la vérification des prérequis par l’installeur pour traquer :
  • Les redémarrages en attente du système : Il vérifie les clés de registre supplémentaires pour les fonctionnalités Windows.
  • SQL change tracking cleanup: Une nouvelle vérification est exécuté pour vérifier si la base de données du site a un arriéré de données de suivi des changements SQL. Pour plus d'informations
  • Système de site sur un nœud de cluster Windows : Le processus d’installation de Configuration Manager ne bloque plus l'installation du rôle de serveur de site sur un ordinateur avec le rôle Windows pour le Failover Clustering. SQL Always On requiert ce rôle, donc auparavant vous ne pouviez pas co héberger la base de données du site sur le serveur du site.
• Les actions de notification cliente requièrent maintenant la permission Notify Resource sur la classe SMS_Collection. Les rôles suivants l’ont par défaut : Full Administrator, Infrastructure Administrator. Vous devez ajouter la permission sur vos rôles personnalisés qui ont besoin d’exécuter des actions à distance.
• Nouvelle action de notification client permettant de réveiller les périphériques.  Vous pouvez maintenant réveiller les clients à partir de la console Configuration Manager, même si le client n'est pas sur le même sous-réseau que le serveur du site. Le serveur du site utilise le canal de notification client pour identifier un autre client qui est éveillé sur le même sous-réseau distant. Le client réveillé envoie alors un packet Wake On LAN (magic packet).
• Nouvelle règle Management Insights pour identifier les clients source de Peer Cache mais qui n'ont pas été mis à niveau depuis une version client antérieure à 1806. Les clients antérieurs à 1806 ne peuvent pas être utilisés comme source Peer Cache pour les clients qui exécutent la version 1806 ou ultérieure.
• Le nœud Management Insights inclut maintenant des tableaux de bord graphiques offrant notamment les tuiles suivantes :
  • Management Insights index permet de suivre les progrès globaux réalisés en ce qui a trait aux règles de gestion éclairée. L'indice est une moyenne pondérée. Les règles critiques ont la plus grande priorité.  Cet indice donne le moins de poids aux règles facultatives. 
  • Management Insights groups :  Affiche le pourcentage de règles dans chaque groupe. 
  • Management Insights priority :  Affiche le pourcentage de règles par priorité. 
  • All insights :  Une table des insights incluant les priorités et l'état.
• Amélioration de l’évaluation des collections. Auparavant, lorsque vous configuriez une planification sur une collection basée sur une requête, le site continuait d'évaluer la requête pour savoir si vous aviez activé ou non le paramètre de collection pour planifier une mise à jour complète sur cette collection. Pour désactiver complètement la planification, vous deviez changer la planification à Aucun/None. Le site efface maintenant la planification lorsque vous désactivez ce paramètre. Vous ne pouvez pas désactiver l'évaluation des collections par défaut comme All Systems, mais vous pouvez maintenant configurer le calendrier.
• Lors de l'installation du client Configuration Manager, le processus ccmsetup contacte le Management Point pour localiser le contenu nécessaire. Auparavant, dans ce processus, le Management Point ne renvoie que les points de distribution du groupe de limites actuel du client. Si aucun contenu n'est disponible, le processus d'installation revient sur le Management Point pour télécharger le contenu. Il n'y a pas d'option pour revenir aux points de distribution dans d'autres groupes limites qui pourraient avoir le contenu nécessaire. Le Management Point renvoie maintenant les points de distribution en fonction de la configuration des groupes de limite.
• Simplification du processus de configuration du client Configuration Manager pour les clients sur Internet. Le site publie des informations supplémentaires sur Azure Active Directory (Azure AD) à la Cloud Management Gateway (CMG). Un client joint à Azure AD obtient cette information de la CMG pendant le processus d'installation du ccmsetup, en utilisant le même tenant auquel il est lié. Ce comportement simplifie davantage l’enregistrement des périphériques au Co-Management dans un environnement avec plus d'un tenant Azure AD. Maintenant, les deux seules propriétés ccmsetup requises sont CCMHOSTNAME et SMSSiteCode.
• L’outil Support Center est maintenant inclus dans le dossier cd.latest\SMSSETUP\Tools\SupportCenter. Pour rappel, cet outil permet le dépannage des clients, l’affichage des journaux en temps réel, etc.
• Le SMS Provider fournit maintenant un accès en lecture seule à l'API d’interopérabilité sur WMI via HTTPS. Le SMS Provider apparaît sous la forme d'un rôle avec une option permettant d'autoriser la communication via la Cloud Management Gateway. L'utilisation actuelle de ce paramètre permet d’activer l'approbation des demandes par email à partir d'un périphérique distant.
• Afin de préparer l’arrêt des communications entre SCCM et Intune, il n'est plus nécessaire de configurer un abonnement Microsoft Intune pour mettre en place le MDM On-premises. Bien entendu, l’entreprise a toujours besoin de licences Intune pour utiliser cette fonctionnalité.

Co-Management

• Vous pouvez définir des règles de conformité pour spécifier des applications requises. Cette évaluation de l'application fait partie de l'état de conformité global envoyé à Microsoft Intune pour les périphériques cogérés.
• Amélioration du tableau de bord Co-Management
  • La tuile Co-Management enrollment status affiche des états supplémentaires.
  • Une nouvelle tuile Co-management status avec un diagramme en entonnoir montre les états du processus d’enregistrement.
  • Une nouvelle tuile avec le nombre d'erreurs d’enregistrement

Inventaire et Reporting

• Amélioration du tableau de bord de cycle de vie (Lifecycle dashboard) pour inclure des informations System Center 2012 Configuration Manager et plus. On retrouve aussi un nouveau rapport Lifecycle 05A – Product lifecycle dashboard qui inclut les mêmes informations.
• Amélioration du Data Warehouse pour permettre la synchronisation de plus de table dans le Data Warehouse.
• Amélioration de CMPivot pour :
  • Sauvegarder les requêtes favorites
  • Sur l’onglet Query Summary, vous pouvez sélectionner le compte des périphériques hors ligne ou en échec et ainsi choisir de créer une collection.

Gestion du contenu

• De nouvelles options de groupes de limite sont ajoutées :
  • Prefer distribution points over peers with the same subnet : Par défaut, le Management Point donne la priorité aux sources Peer Cache en haut de la liste des emplacements de contenu. Ce paramètre annule cette priorité pour les clients qui se trouvent dans le même sous-réseau que la source Peer Cache.
  • Prefer cloud distribution points over distribution points :  Si vous avez un site distant avec un lien Internet plus rapide, vous pouvez maintenant prioriser le contenu issu des Cloud DPs.

Déploiement d’applications

• Vous pouvez maintenant convertir des applications Windows Installer (.msi) au format MSIX.
• Les types de déploiement Windows Installer et Script Installer permettent de spécifier une ligne de commande de réparation. Ceci permet à l’utilisateur de cliquer sur un bouton Repair dans le Software Center.
• Vous pouvez configurer des notifications emails pour les demandes d’approbation d’applications. Ainsi, quand un utilisateur demande une application, vous recevez alors un email qui vous permet d’approuver ou refuser la demande sans accéder à la console.
• L’utilisation d’un script PowerShell comme méthode de détection pour des applications ou des paramétrages de conformité, le script est lancé avec le paramètre -NoProfile. Ceci permet de lancer PowerShell sans profil. Ceci ne s’applique pas à la fonctionnalité d’exécution de scripts.

Mises à jour logicielles

• Vous pouvez maintenant utiliser les déploiements phasés (Phased Deployment) pour les mises à jour logicielles. Ceci permet d’orchestrer le déploiement de la mise à jour logicielles.
• Un nouveau paramétrage du client dans Software Update permet de contrôler le comportement d’installation des mises à jour logicielles lors des fenêtres de maintenance : Enable installation of updates in "All deployments" maintenance window when "Software update" maintenance window is available. S’il est à No, vous gardez le même comportement sinon cela permet au client d’utiliser d’autres types de fenêtre de maintenance pour installer les mises à jour logicielles.

Déploiement de systèmes d’exploitation

• Nouveau modèle de séquence de tâches pour l’utilisation de Windows Autopilot pour les périphériques existants Windows 7. Ceci permet pour des machines Windows 10 Insider Preview d’utiliser le scénario drivé par l’utilisateur.
• Il est maintenant possible de spécifier le disque utilisé par Configuration Manager pour réaliser l’ajout de mises à jour logicielles via la maintenance des images de système d’exploitation de manière hors ligne.
• La récupération de contenu lors de l’exécution d’une séquence de tâches se fait en respectant le comportement des groupes de limites.
• Amélioration de la maintenance des drivers pour permettre de spécifier des métadonnées additionnelles (Manufacturer et Model) sur les packages de drivers. Ceci permet de supprimer un ancien driver ou un driver dupliqué.
• Nouvelle variable de séquence de tâches (_SMSTSLastActionName) pour connaître le nom de la dernière action. La valeur est ajoutée dans le fichier smsts.log

Conformité des paramétrages

• Vous pouvez maintenant voir le résultat détaillé du script exécuté dans un format brut ou dans un format JSON structuré.
• Amélioration du dépannage avec de nouveaux logs pour l’exécution des scripts
• Les clients mis à jour renvoient moins de 80 Ko à son site par le Fast Channel. Ce changement améliore les performances de visualisation de la sortie des requêtes et scripts.

 Plus d’informations sur cette version : What’s new in version 1810

Pour obtenir les éléments relatifs au processus de mise à jour : https://docs.microsoft.com/en-us/sccm/core/servers/manage/updates

Une semaine après l’incident sur le service d’authentification à facteurs multiples d’Azure Active Directory (Azure MFA ou Office 365 MFA), voici un nouvel incident. La durée d’indisponibilité a été moins longue que pour le précédent mais certains clients ont pu être touché par ce problème.

Joy Chik, Corporate Vice President, Azure Identity a communiqué une lettre publique expliquant le problème et les corrections en cours pour résoudre l’incident.  Joy Chik s’excuse pour ces deux problèmes et explique que toute la lumière sera faite et des changements auront lieu pour ne plus rencontrer ce genre de soucis.

Voici le contenu de la lettre (traduite) :

Mardi 27 novembre 2018, 10:00 Pacific / 18:00 UTC 

De : Joy Chik, Vice-présidente corporative, Azure Identity 

Sujet : Azure Multi-Factor Authentication, 27 novembre 2018, Tracking ID : X4N4-FWG

Je dirige l’équipe d'ingénieurs Azure Identity qui construit, exploite et supporte les services Azure Identity. La fiabilité du service est un principe fondamental d'Azure et une responsabilité que nous prenons extrêmement au sérieux. C'est pourquoi j'aimerais partager avec nos clients de l'information sur cette panne récente et sur les mesures que nous prenons pour aller de l'avant.

Un problème d'authentification à facteurs multiples d'Azure (MFA) a eu un impact sur les clients qui ont des tenants dans plusieurs régions, utilisant les services Azure, Office 365 et Dynamics 365. Suite à une enquête initiale, les ingénieurs ont déterminé qu'un Domain Name System (DNS) avait déclenché des échecs de demande de connexion. Nous avons plusieurs équipes d'ingénieur qui travaillent sur l'assainissement des plates-formes et qui sont responsables du traitement des demandes MFA. Nous avons accéléré le déploiement région par région et le service est maintenant largement restauré.

Bien que certains clients voient une reprise, nous comprenons que certains d'entre eux ont encore des problèmes. Soyez assurés que nous travaillons pour nous assurer que chaque client est complètement rétabli et que nous concentrons toute notre attention sur l'atténuation de la panne MFA actuelle. Une fois que les mesures d'atténuation complètes seront confirmées, nous commencerons une analyse des causes profondes. Les résultats préliminaires de l'analyse des causes profondes seront publiés sur la page Azure Service Health, et sur les pages d'état des services impactés respectés, dans les 72 heures environ.  De tels événements ne sont jamais les bienvenus et nous comprenons les défis qu'ils représentent pour nos clients. Nous sommes tout à fait conscients que cela fait suite à un précédent incident MFA du 19 novembre 2018, pour lequel certains de nos clients ont également été touchés. Nous avons donné les raisons fondamentales complètes pour l’incident précédent, qui est publié sur la page d'état. Comprendre la cause profonde et toute interconnexion entre les deux événements sera au cœur de nos recherches.  Nous tirons des leçons de chaque incident de service et nous améliorerons la résilience de notre conception en fonction de cet incident. L'analyse des causes profondes s'étendra à la façon dont nous travaillerons pour prévenir des pannes de cette nature à l'avenir.

Je m'excuse sincèrement auprès de nos clients pour les répercussions de cet incident. J'aimerais également vous assurer que nous travaillons avec diligence pour comprendre les enjeux et, ce faisant, que nous travaillons à rétablir votre confiance en Azure. 

 Cordialement, Joy Chik Vice-présidente corporative, Azure Identity

Depuis quelques semaines, un sujet a fait émergence sur Twitter. Des entreprises qui exécutaient des applications WPF dans Windows PE, semblent rencontrer des problèmes avec la dernière version de l’ADK de Windows 10 1809. Les applications ne s’exécutent plus et ce malgré que vous ajoutiez les composants optionnels WinPE : Microsoft .NET/WinPE-NetFX

Il semble qu’il manque deux fichiers (BCP47Langs.dll et BCP47mrm.dll) dans la WIM (WinPE.Wim) de l’ADK 1809. Ces deux fichiers sont néanmoins présents dans le fichier boot.wim des sources présentes dans l’ISO de Windows 10 1809.

Vous pouvez donc :

• Soit utiliser le fichier boot.wim de l’image ISO de Windows 10 1809
• Soit récupérer les deux fichiers (BCP47Langs.dll et BCP47mrm.dll) en montant le fichier boot.wim de l’image ISO de Windows 10 1809 pour les injecter dans l’image WinPE.WIM de l’ADK 1809. Ceci permettra notamment d’assurer que ces fichiers sont toujours présents même lorsque vous générez de nouvelles images.

Il est à noter que malgré le fait que l’exécution d’application WPF fonctionnait jusqu’alors, ce scénario n’était officiellement pas supporté par Microsoft.