Un client m’a récemment posé la question concernant le support de solutions d’identité tierces telles qu’Okta ou Modiam par Windows Autopilot pour le provisionnement de machines Windows 10.
Malheureusement à date (Novembre 2018), la seule solution d’identité supportée par Windows Autopilot est Azure Active Directory (Azure AD)
A peine mise à disposition, Microsoft vient de mettre à disposition les drivers et firmwares pour Windows 10 pour la Surface Pro 6.
A peine mise à disposition, Microsoft vient de mettre à disposition les drivers et firmwares pour Windows 10 pour la Surface Laptop 2.
Microsoft a publié une page de documentation résumant plutôt bien comment migrer les différents rôles vers Windows Server 2016 ou Windows Server 2012 R2.
Vous retrouvez des informations sur :
Aujourd’hui, un de mes clients souhaitaient mettre à niveau ces machines Windows 10 d’une version à l’autre via le service WSUS (sans utiliser System Center Configuration Manager). Le serveur WSUS est hébergé sur Windows Server 2016 et répond donc aux prérequis. Les mises à jour supplémentaires ne sont nécessaires que pour Windows Server 2012 ou 2012 R2.
Après approbation de la mise à niveau, on peut observer les clients tenter de télécharger la mise à niveau et rester à 0%.
Côté serveur, on peut voir les événements suivants :
(Unable to find resource):ReportingEvent.Client.167; Parameters: Feature update to Windows 10 (business editions), version 1709, fr-fr
Ce problème provient de la configuration des Mime Types sur le serveur IIS.
Pour le résoudre, vous pouvez suivre la procédure suivante :
Microsoft a publié une liste de ressources concernant Windows Virtual Destkop que vous pouviez déjà voir en rediffusion à l’occasion de l’événement Microsoft Ignite. Pour rappel, Windows Virtual Destkop est un service de VDI/Bureau à distance hébergé dans Microsoft Azure. Il permet d’héberger des machines virtuelles Windows 10 Enterprise ou Windows 7 SP1 Enterprise (avec support étendu) afin notamment d’exécuter des applications soit pour des problèmes de compatibilité soit pour donner accès à des ressources à distance. Les entreprises qui ont acheté Windows 10 Enterprise peuvent toutes bénéficier de ce service sans surcout de licences. Le seul coût est au niveau du calcul, du stockage et de la bande passante généré par ces machines virtuelles.
En attendant de pouvoir tester, voici la liste des sessions :
Microsoft IT (CSEO) vient de publier un Showcase sur l’utilisation de Microsoft 365 et les différents services de Windows 10, Office 365 et Enterprise Mobility + Security (EMS) pour couvrir les enjeux de sécurité suivants :
Le but est :
Microsoft publie une nouvelle version (Novembre 2018) d’Azure Data Studio, précédemment connu sous le nom SQL Operations Studio. Azure Data Studio offre une expérience d'éditeur moderne avec IntelliSense, des extraits de code, l'intégration du contrôle des sources et un terminal intégré.
Les utilisateurs passent de plus en plus de temps à travailler sur l'édition des requêtes que sur toute autre tâche avec SQL Server Management Studio. Pour cette raison, Azure Data Studio a été conçu pour se concentrer en profondeur sur les fonctionnalités les plus utilisées, avec des expériences supplémentaires disponibles comme des extensions optionnelles. Cela permet à chaque utilisateur de personnaliser son environnement comme il utilise le plus souvent.
Cette version intègre les changements suivants :
Quand utiliser Azure Data Studio ?
Quand utiliser SQL Server Management Studio ?
Plus d’informations: https://cloudblogs.microsoft.com/sqlserver/2018/11/06/the-november-release-of-azure-data-studio-is-now-available/
Pour rappel, ces outils sont disponibles depuis Windows, macOS, et Linux pour permettre de gérer SQL Server, Azure SQL Managed Instance, Azure SQL Database, Azure SQL Data Warehouse, et SQL Server 2019 Big Data Clusters.
Microsoft vient de publier une nouvelle Preview (1.0.1) du client web Remote Desktop . Cette version apporte :
Pour installer et mettre à jour le client web Remote Desktop
Microsoft vient de publier une nouvelle application (10.2.3) du client Remote Desktop pour macOS. Cette version apporte :
Microsoft vient de publier une nouvelle Preview (10.0.1088) du client Remote Desktop en version universelle pour Windows 10. Cette version apporte :
Microsoft a publié un script de collection de log à destination de Storage Migration Service. Ce dernier peut être utile pour dépanner ou si vous devez ouvrir un ticket au support Microsoft. Pour rappel, la fonctionnalité Storage Migration Service est une nouveauté de Windows Server 2019 permettant de migrer des serveurs et des données sans avoir à reconfigurer les applications ou les utilisateurs. Ceci permet de migrer des données non structurées dans Microsoft Azure ou Windows Server.
Pour l’utiliser, exécutez les commandes PowerShell suivantes en tant qu’administration
Pour obtenir le script, rendez-vous sur GitHub.
Vous n’arrivez pas à installer une clé ou activer des machines équipées de Windows Server 2019 ou Windows 10 1809/LTSC 2019 avec un hôte KMS (Key Management Service) Windows 8.1, Windows Server 2012 R2/2016, ou Windows 10 1607, 1709, 1803 ?
La mise à jour (KB4347075) permettait d’étendre le support KMS pour Windows 10 LTSC 2019, Windows Server 2019 ou Windows 10 1809. Cette mise à jour permettant d’installer des clés de licence en volume.
Microsoft a signalé un problème persistant depuis cette mise à jour ne permettant pas de chargé une clé CSVLK. Ce dernier n’a pour l’instant pas été corrigée par les correctifs cumulatifs.
Depuis Windows 8, Microsoft a implémenté la détection des connexions Internet limitées ou taxées. Ainsi si le téléphone ou le modem 3G/4G implémente correctement les normes, l’utilisation de ce réseau sera détectée par Windows comme étant une connexion Internet limitée ou taxée. Sinon, l’utilisateur peut définir lui-même une connexion comme étant limitée :
On retrouve un paramétrage Windows qui définit le comportement des fonctionnalités qui peuvent générer du trafic. System Center Configuration Manager permet aussi la configuration d’une stratégie cliente qui vient définir une stratégie relative à SCCM.
Dans le cas de la mise à niveau du client SCCM, CCMsetup utilise l’option la plus restrictive entre celle définie sur Windows et par SCCM.
Si la stratégie cliente SCCM est définie sur Limit ou Block, alors le client ne se mettra à jour que lorsqu’il est connecté à une connexion non limitée. On peut notamment voir dans le fichier ccmsetup.log, ce que Windows a renvoyé vis-à-vis de la connexion (Unrestricted cost ou Variable cost ou Fixed cost) sur laquelle il est connectée.
Si la stratégie SCCM est définie sur Allow, CCMsetup téléchargera à moins que Windows signale que le périphérique est en itinérance.
Notez que ce comportement divers pour l’installation initiale du client SCCM puisqu’aucune stratégie SCCM n’est déployée. L’installation honore ce que l’utilisateur a défini dans le panneau de configuration. Si la machine n’est connectée qu’à des connexions limitées, alors le client SCCM ne s’installera pas. Ceci permet d’éviter une éventuelle surprise sur la facture puisque dans ce cas le client peut télécharger des prérequis qui font plusieurs Megabytes.
La première installation du client ne prend donc pas en compte les paramétrages des agents du client par défaut ni même une option qui permet l’utilisation d’une connexion limitée excepté lors de l’itinérance.
Matt Novitsch (SCCM Premier Field Engineer) et Craig McCarty (Platforms Premier Field Engineer) ont publié un billet sur le blog des PFE pour parler des mises à jour Windows. Vous avez surement déjà fait face à des mises à jour Windows 10 qui restaient bloquée en téléchargement, en installation ou tombait constamment en échec.
Généralement vous avez pu le constater sur les forums, les mêmes conseils sont systématiquement donner :
Les PFE donne donc un script PowerShell qui permet de réaliser ces opérations. Ce dernier peut d’ailleurs être exécuté à distance depuis System Center Configuration Manager.
Plus d’informations sur : Unsticking Windows Updates That Are Stuck In Their Tracks
Les projets de gestion moderne commencent à devenir de plus en plus fréquents. Microsoft Intune permet le chiffrement via la fonctionnalité BitLocker de Windows 10. Par défaut, les machines sont chiffrées avec l’algorithme XTS-128.
Une des nouveautés de la version Windows 10 1809 est de pouvoir choisir le niveau de chiffrement via des stratégies et ce avant le démarrage du chiffrement lors de la phase Out Of Box Experience (OOBE) via Windows Autopilot uniquement. Ce dernier n’est donc pas pris en charge lors de l’enregistrement en mode OOBE par l’utilisateur lorsqu’il joint lui-même sa machine à Azure Active Directory.
Bien entendu, la stratégie doit être appliquée avant le démarrage du chiffrement. Ceci est le cas lors de l’utilisation de Windows Autopilot pour provisionner des machines.
Pour résumer, vous devez :
Une autre bonne nouvelle permet de lancer un chiffrement pour un utilisateur Azure Active Directory standard (non-administrateur) sans nécessiter un matériel moderne qui prend en charge HSTI (Hardware Security Test Interface). Avant Windows 10 1809, vous deviez utiliser des matériels haut de gamme type Surface ; ce qui n’est plus le cas aujourd’hui.
Enfin pour rappel, la configuration de Bitlocker via le Configuration Service Provider (CSP) utilisé par Microsoft Intune ne requiert plus l’édition Enterprise. Ce dernier est disponible dès l’édition Pro.
Microsoft vient de publier une nouvelle version (10.0.3.0) le pack d’administration ou Management Pack (MP) SCOM pour Active Directory Federation Services. Cette version ne fonctionne qu’avec System Center 2012 Operations Manager et plus. Pour rappel, System Center Operations Manager (SCOM) fait partie de la gamme System Center, il propose une supervision souple et évolutive de l’exploitation au niveau de toute l’entreprise, réduisant la complexité liée à l’administration d’un environnement informatique, et diminuant ainsi le coût d’exploitation. Ce logiciel permet une gestion complète des événements, des contrôles proactifs et des alertes, et assure une gestion des services de bout en bout. Il établit des analyses de tendance et des rapports, et contient une base de connaissances sur les applications et le système.
Cette version corrige un bug dans le moniteur SQL Configuration Database Unavailable pour qu'il fonctionne avec des ports SQL pas par défaut.
Il supervise les éléments suivants :
Lisez le guide associé au Management Pack pour mettre en œuvre la supervision et activer les règles nécessaires.
Télécharger System Center Management Pack for Active Directory Federation Services
Microsoft a publié un message (MC152361) dans le centre de messages Office 365 concernant un problème connu qui touche Microsoft Intune et les paramétrages Network Access Control pour iOS. Avec la mise à jour d’Octobre, un paramétrage “Enable network access control (NAC)” sera présent dans la console.
Néanmoins, le NAC ID n’est pas encore supporté par Cisco, F5, Citrix. De ce fait, la fonctionnalité ne fonctionne pas encore. En raison de la fonctionnalité de sécurité, tous les périphériques qui sont ciblés par un profil VPN avec le réglage NAC activé seront déconnectés du VPN toutes les 24 heures.
Ceci n'affecte pas la capacité d'un périphérique à se connecter au VPN. Les utilisateurs des périphériques impactés peuvent immédiatement se reconnecter manuellement au VPN, ou le VPN sera reconnecté si vous utilisez un mécanisme tel que les règles à la demande pour se reconnecter automatiquement au VPN.
Vous pouvez suivre la documentation pour voir quand les fabricants supporteront cette fonctionnalité.
Plus d’informations sur : https://aka.ms/iOS12_and_vpn
La configuration d’un serveur NDES peut parfois nécessiter beaucoup de patience afin qu’il puisse être utilisé dans le processus de déploiement de certificats par Microsoft Intune.
Pour ce faire, je vous partage deux URLs :
Vous avez peut-être constaté que les machines Windows 10 1709, 1803, 1809, n’avaient plus de son après l’application du Patch Tuesday d’Octobre 2018 et notamment la KB4464330. Ceci concerne les systèmes HP et Intel. Cela génère des erreurs notamment pour joindre des réunions dans Skype ou Microsoft Teams.
Microsoft a publié un correctif : la KB4468550 que vous pouvez télécharger à partir du Catalogue de mise à jour Microsoft.
Cette mise à jour corrige le problème suivant : après l’installation du pilote Intel Smart Sound Technology (version 09.21.00.3755) via Windows Update ou manuellement, le son de l’ordinateur peut cesser de fonctionner.
Voici le récapitulatif des annonces faites par Microsoft concernant sa plateforme Microsoft Azure.
Parmi les annonces, on retrouve notamment :
General
Azure MarketPlace
Côté machines virtuelles : Bocada Backup Reporting Automation Software, DocuTRAK 3.5, Foglight for Virtualization Enterprise Edition 8.8, IBM DataPower Virtual Edition 7.7, IBM WebSphere Application Server Liberty 18.0, IBM WebSphere MQ 9.1, IPM+ Enterprise Energy Management Platform, IZAR@NET, JAMS V7 (BYOL) - Server 2016, Leap Orbit Storage-backed SFTP Appliance, Matillion ETL for Snowflake, Modern Requirements4TFS 2018 Update 2.1, Modernization Platform as a Service (ModPaaS), Objectivity D*ChoC, RSK Orchid MainNet Beta, Session Border Controllers (SBC) for Azure, SQL Server 2017 Ent w/ VulnerabilityAssessment, SQL Server 2017 Web with Vulnerability Assessment.
CentOS 7.4 Hardened - Antivirus & Auto Updates, CMS Made Simple on Ubuntu 14.04 LTS, Confidential Compute VM Deployment, E-mail Converter, Gradle on Ubuntu 14.04 LTS, Joomla on Ubuntu 16.04 LTS-Auto Updates + Antivirus, Kong Cluster, Striim, Striim for Real-Time Data Integration to CosmosDB, Striim for Real-Time Integration to PostgreSQL, et Wordpress on Ubuntu 14.04 LTS.
Azure Event Grid
Azure SQL
Operations Management Suite (OMS)
HDInsight
Azure App Service
Azure IoT
Azure Cognitive Services
Autres services
Microsoft et la communauté ont signalé une vulnérabilité dans le chiffrement matériel de certains disques pré-chiffrés (Self-Encrypting Drives). Le problème concerne les disques eux-mêmes mais impactent BitLocker.
Sur les machines Windows équipés de disques pré-chiffrés, BitLocker Drive Encryption gère le chiffrement et utilise le chiffrement matériel par défaut. Du fait que ces disques n’ont pas l’auto-chiffrement adéquat, le chiffrement par BitLocker n’est pas effectif. C’est le cas pour :
D’autres références peuvent être concernées. Plus d’infos
Les entreprises doivent donc pour ces disques, forcer le chiffrement logiciel sur les machines équipées de disques pré-chiffrés. Ceci peut être réalisé en déployant une stratégie de groupe pour remplacer le comportement par défaut. Il est à noter que Windows appliquer le chiffrement logiciel uniquement au moment de l'activation de BitLocker.
Afin de vérifier si vos machines sont impactées par ce problème, vous devez utiliser la procédure suivante :
De manière industrielle, vous pouvez utiliser le script suivant :
$BitlockerVolume = Get-BitLockerVolume | select encryptionmethod,mountpoint,VolumeType,ProtectionStatus |? { $_.VolumeType -eq "OperatingSystem" -and $_.ProtectionStatus -eq "On" }
switch ($BitlockerVolume.encryptionmethod) {
Aes128 { $true }
Aes256 { $true }
Aes128Diffuser { $true }
Aes256Diffuser { $true }
XtsAes128 { $true }
XtsAes256 { $true }
Default { $false }
}
Pour les disques qui sont chiffrés à l'aide d'une forme vulnérable de chiffrement matériel, vous pouvez atténuer la vulnérabilité en passant au chiffrement logiciel à l'aide de Bitlocker avec une stratégie de groupe.
Notez qu’après qu'un lecteur ait été chiffré à l'aide du chiffrement matériel, le passage au chiffrement logiciel sur ce lecteur nécessitera que le lecteur soit d'abord déchiffré, puis réchiffré à l'aide du chiffrement logiciel. Si vous utilisez BitLocker, il ne suffit pas seulement de modifier la valeur de la stratégie de groupe pour appliquer le chiffrement logiciel afin de chiffrer à nouveau les données existantes.
Pour ce faire :
IMPORTANT : Il n’est pas nécessaire de reformater le lecteur ou de réinstaller des applications après avoir modifié les paramètres de BitLocker.
Plus d’informations sur : ADV180028 | Guidance for configuring BitLocker to enforce software encryption
Microsoft a publié un avertissement (MC152397) dans le centre de messages d’Office 365 pour signifier la suppression temporaire d’un paramétrage de configuration de périphérique dans Microsoft Intune for Education.
Le paramétrage correspondant permet à l’administration d’autoriser un utilisateur de sauvegarder des fichiers localement sur un périphérique. Ce paramétrage est disponible dans Groups – Settings – Shared device settings - Block access to local storage.
Par défaut un périphérique configuré pour le provisionnement via Set up PC’s provisioning bloque l’accès au stockage local (exception si l’utilisateur y a accès via l’interface d’une application).
Microsoft planifie un retour du paramétrage courant novembre.
Microsoft a communiqué concernant un problème connu entre Windows 10 1809 (October 2018) et les paramétrages de conformité de firewall de Microsoft Intune. Les paramétrages de conformité sont notamment utilisés pour l’accès conditionnel afin de vérifier l’état du pare-feu via le centre de sécurité Windows (Windows Security Center). En fonction de l’état du pare-feu Windows ou tiers, la stratégie de conformité marquera le périphérique comme conforme ou non conforme.
Le problème est si vous avez défini ce contrôle de conformité, Windows renvoie l'état true - firewall activé - même si le pare-feu du périphérique n'est pas activé. Cela signifie que les périphériques sans pare-feu pourraient accéder aux ressources de l’entreprise (messagerie, etc.) même si vous souhaitiez bloquer ce comportement. Ceci ne concerne que Windows 10 1809.
Si ce problème vous affecte, il est recommandé de déployer une stratégie de configuration de pare-feu.
Plus d’informations : Firewall policies in Intune.
L’équipe System Center vient de publier les packs d’administration (Management Pack) pour la brique Skype for Business Server 2019 en version 2046.19. Pour rappel, System Center Operations Manager (SCOM) fait partie de la gamme System Center, il propose une supervision souple et évolutive de l’exploitation au niveau de toute l’entreprise, réduisant la complexité liée à l’administration d’un environnement informatique, et diminuant ainsi le coût d’exploitation. Ce logiciel permet une gestion complète des événements, des contrôles proactifs et des alertes, et assure une gestion des services de bout en bout. Il établit des analyses de tendance et des rapports, et contient une base de connaissances sur les applications et le système.
Ce management pack apporte les fonctionnalités suivantes :
Ce Management Pack fonctionne avec System Center Operations Manager 2007 R2, System Center 2012 Operations Manager, System Center 2016 Operations Manager, ou System Center Operations Manager 1709+. Lisez le guide associé au Management Pack pour mettre en œuvre la supervision et activer les règles nécessaires.
