Christopher Scott (PFE Microsoft) a développé un tableau de bord Power BI à destination de System Center Operations Manager. Ce dernier donne un aperçu général de l’environnement avec des éléments importants de la configuration. On retrouve par exemple :

• Nombre d’agents
• Un diagramme des alertes par sévérité
• La capacité de filtré par groupes d’applications
• Le nombre d’alertes sur les 7 derniers jours
• Le TOP20 des générations d’alertes
• Le nombre d’alertes par Management Pack
• Le nombre d’agents par versions
• Le nombre de machines qui requièrent une attention
• L’état de santé des agents
• Le nombre de transactions de mode maintenance par mois.
• Etc

Plus d’informations sur : https://blogs.technet.microsoft.com/askpfeplat/2018/08/27/a-new-tool-for-your-toolbox-scom-dashboard-report-template-in-powerbi/

Télécharger SCOM Overview Dashboard Template

SQL Server Management Studio a été décorrélé de l’installation de SQL Server depuis la version 2016, il est maintenant possible de télécharger l’outil séparément. La version 17.9 a été mise à disposition et permet de se connecter de SQL Server 2008 à SQL Server 2017.

Cette nouvelle version apporte :

• Amélioration de la fonctionnalité ShowPlan pour permettre l’affichage de IsMemoryGrandFeedbackAdjusted et LastRequestedMemory au élément XML du plan d’exécution MemoryGrandInfo.
• Support des SKUs vCore dans la création de base de données Azure.
• D’autres améliorations et corrections de bugs
  • Replication Monitor : Correction d'un problème qui empêchait le démarrage de Replication Monitor (SqlMonitor.exe).
  • Import Flat File Wizard : Correction du lien vers la page d'aide de la boîte de dialogue "Flat File Wizard". Correction d'un problème où l'assistant ne permettait pas de changer la table de destination alors que la table existait déjà : cela permettait aux utilisateurs de réessayer sans avoir à quitter l'assistant, supprimer la table en échec, puis saisir à nouveau les informations dans l'assistant.
  • Import/Export Data-Tier Application : Correction d'un problème (dans DacFx) qui causait l'importation d'un fichier.bacpac pouvait échouer avec un message comme "Error SQL72014: .Net SqlClient Data Provider: Msg 9108, Level 16, State 10, Line 1 This type of statistics is not supported to be incremental. "lorsqu'il s'agit de tables avec des partitions définies et aucun index sur la table
  • Intellisense : Correction d'un problème où la complétion d'Intellisense ne fonctionnait pas lors de l'utilisation de AAD avec MFA.
  • Object Explorer : Correction d'un problème où le "Filter Dialog" s'affichait sur les écrans aléatoirement au lieu de l’écran où le SSMS fonctionnait (systèmes multi-écrans).
  • Azure SQL :
    • Correction d'un problème lié à l'énumération des bases de données dans les "Available Databases" où "master" n'était pas affiché dans le menu déroulant lorsqu'il était connecté à une base de données spécifique.
    • Correction d'un problème où la génération d'un script ("Data" ou "Schema and Data") échouait puis connecté à la base de données SQL Azure en utilisant AAD avec MFA.
    • Correction d'un problème dans le View Designer (Vues) où il n'était pas possible de sélectionner "Add Tables" dans l'interface utilisateur lors de la connexion à une BD SQL Azure.
    • Correction d'un problème où l'éditeur de requêtes SSMS fermait et rouvrait silencieusement les connexions pendant le renouvellement des tokens MFA. Cela empêchera les effets secondaires inconnus de l'utilisateur (comme la fermeture d'une transaction et le fait de ne plus jamais la rouvrir) de se produire. Le changement ajoute le temps d'expiration du token à la fenêtre des propriétés.
    • Correction d'un problème où le SSMS n'imposait pas les demandes de mot de passe pour les comptes MSA importés pour AAD avec login MFA.
  • Activity Monitor : Correction d'un problème qui faisait que "Live Query Statistics" ne fonctionnait pas au lancement depuis Activity Monitor et l'authentification SQL était utilisée.
  • Intégration Microsoft Azure : Correction d'un problème où SSMS n'affiche que les 50 premiers abonnements (boîtes de dialogue Always Encrypted, Sauvegarde/Restauration à partir des boîtes de dialogue URL, etc). Correction d'un problème où SSMS lançait une exception (" Index out of range ") en essayant de se connecter à un compte Microsoft Azure qui n'avait pas de compte de stockage (dans la boîte de dialogue Restaurer la sauvegarde depuis une URL)
  • Object Scripting : Lors de la création de scripts "Drop and Create", SSMS évite désormais de générer des T-SQL dynamiques. Lors de la création d'un script pour un objet de base de données, SSMS ne génère plus de script pour définir les configurations de portée de la base de données, si elles sont définies à des valeurs par défaut.
  • Aide : Correction d'un problème de longue date où "Help on Help" ne respectait pas le mode online/offline. En cliquant sur "Help | Community Projects and Samples", le SSMS ouvre maintenant le navigateur par défaut qui pointe vers une page Git et ne montre aucune erreur/avertissement dû à l'ancien navigateur utilisé.

Plus d’informations sur la Release Notes

Télécharger SQL Server Management Studio (SSMS) 17.9

Microsoft a publié une mise à jour (août 2018) à un ebook gratuit à destination des développeurs qui s’intéressent à Microsoft Azure. The Developer’s Guide to Microsoft Azure correspond à la seconde édition. Elle est écrite par Michael Crump et Barry Luijbregts et comprend les chapitres suivants :

1. The Developer’s Guide to Microsoft
2. Getting started with Microsoft Azure
3. Securing your application
4. Adding intelligence to your application
5. Working with and understanding IoT
6. Where and how to deploy your Microsoft Azure services
7. Microsoft Azure in Action
8. Summary and Where to go next

Télécharger le livre

Microsoft peaufine son outil de packaging et vient de mettre à disposition une nouvelle préversion (1.2018.831.0) de l’outil de packaging MSIX (MSIX Packing Tool) depuis le Microsoft Store. Cet outil permet de prendre un package d’application Win32 existant et de la convertir au format MSIX. Vous utilisez pour cela une machine de référence pour exécuter l’outil et obtenir le package MSIX que vous pouvez ensuite déployer à la main, par votre outil de télédistribution ou depuis le Microsoft Store.

Pour rappel, le format MSIX est un nouveau format standardisé lancé par Microsoft pour remplacer l’ensemble des formats de packaging existants tout en bénéficiant des avancés des différentes solutions : Click-To-Run (C2R), App-V, APPX et plus généralement du Framework d’applications universelles (UWP). Il offre donc des mécanismes de conteneurisation et les bénéfices des applications universelles avec une installation, mise à jour et désinstallation aisée sans laisser aucune trace sur le système. Il fournit aussi des mécanismes de sécurisation avancés permettant de valider l’intégrité du code exécuté. Ce format permet aussi de créer des personnalisations pour les applications packagées et de les faire perdurer au travers des différentes mises à jour de l’application.

Cette préversion ajoute les fonctionnalités :

• Mise à jour du schéma de la ligne de commande avec l’ajout de l’attribut TemplatePath, le renommage de Path à PackagePath
• Mise à jour de l’interface pour l’épurer
• Capacité de manuellement éditer le manifest dans l’éditeur de package

Ceci s’ajoute aux capacités principales existantes :

• Packaging d’applications au format MSI, EXE, App-V 5.x) vers MSIX
• Créer un package de modification pour un package nouvellement créé via l’option Modification Package
• L’ouverture d’un package MSIX pour voir et éditer les propriétés via l’option Open package editor.
• Ajout du support de l’invite de commande
• Ajout de la capacité d’utiliser une machine virtuelle locale existante pour l’environnement de packaging
• Ajout de la possibilité de vérifier les informations de l’éditeur dans le manifest avec un certificat de signature afin d’éviter les problèmes de signature
• Ajout de mise à jour mineur à l’interface pour la clarifier.

Il n’est pour l’instant pas possible de convertir des packages App-V 4.6 SP3, d’avoir accès à l’interface en ligne de commande, de packager sur un machine virtuelle existant, et certaines options ne permettent pas encore d’ajout ou supprimer des fichiers virtuels ou des éléments dans le registre virtuel.

Pour accéder à l’outil, vous devez :

• Participer au programme Windows Insider Fast ou Slow Ring
• Avoir Windows 10 17701 ou plus
• Avoir les droits d’administrateur sur la machine
• Avoir un compte Microsoft pour accéder au Microsoft Store.

Plus d’informations sur : MSIX Packaging Tool (Preview) is now available from the Microsoft Store

Plus d'éléments sur le format MSIX sur MSIX Intro

Télécharger MSIX Packing Tool

L’équipe du support Microsoft Intune a publié un billet concernant un problème avec les mises à jour qui doivent être installées sur des périphériques iOS. Ceci concerne les périphériques iOS 11.4 ou plus qui sont dans un état verrouillé et qui ont un code d’accès. Les administrateurs peuvent voir des erreurs dans la console d’administration quand les mises à jour sont planifiées pour ces périphériques et non installées.

Comme solution, les utilisateurs peuvent manuellement installer les mises à jour depuis Settings > General > Software Update.

Apple est au cours du problème dans iOS.

Source : https://blogs.technet.microsoft.com/intunesupport/2018/08/22/known-issue-updates-are-not-installed-for-ios-devices-11-4-and-higher/

Thierry BOLLET (Architecte Système que j’ai côtoyé en projet) a sorti un nouveau livre sur PowerShell Desired State Configuration (DSC). Cet ouvrage est conçu de manière simple et pratique avec des procédures simples et détaillées (pas à pas). Le lecteur est alors invité à monter son environnement de laboratoire pour ensuite tester et apprendre les différents concepts et composants essentiels. Le livre est particulièrement complet et bien écrit afin d’appréhender cette technologie.
Pour rappel, DSC permet d’assurer la configuration correcte des composants du Datacenter avec PowerShell.

Les chapitres du livre :
 
Chap. 1 : Plateforme de tests Windows
Chap. 2 : Présentation DSC
Chap. 3 : Méthode Push
Chap. 4 : Comprendre les ressources
Chap. 5 : Utiliser les fonctions et commandes du module DSC
Chap. 6 : Déployer et Utiliser DSC
Chap. 7 : Utiliser DSC, méthode avancée
Chap. 8 : DSC pour Linux
Chap. 9 : Audit et rapports DSC
Chap. 10 : Troubleshooting DSC
Chap. 11 : Pour aller plus loin

Il est disponible sur :

• Le site des Editions ENI
• Le site de la FNAC
• Le site d'AMAZON
• Dans toutes les librairies spécialisées

Microsoft a réalisé un sondage auprès de Kantar TNS en janvier 2018 sur l’état du Cloud Hybride. Plus de 1700 personnes ont répondu parmi des professionnels de l’informatique (IT), des développeurs, des décisionnaires, etc. pour connaître leur perception du Cloud hybride et la volonté de l’adopter. Le sondage a été réalisé sur des participants aux Etats-Unis, en Angleterre en Inde et en Allemagne.

Le résultat est que 67% des sondés utilisent ou planifient de déployer un cloud Hybride. La plupart des utilisateurs du Cloud hybride, ont sauté le pas récemment avec 54% dans les deux dernières années. Le coût, l’expérience IT consistante et la capacité à s’adapter rapidement, sont toutes des raisons invoquées. La sécurité améliorée est vu comme l’un des principaux bénéfices en Angleterre et en Allemagne ; alors qu’aux Etats-Unis, c’est une meilleure adaptativité des ressources de calcul.

Le stockage des données est vu comme un cas d’usage important pour 71% des sondés, suivi par la sauvegarde et la restauration après désastre à 69%.

Pour plus d’informations, vous pouvez regarder le webinar : Among the Clouds: Enterprises Still Prefer Hybrid in 2018.

Source : https://azure.microsoft.com/en-us/blog/a-quick-take-on-the-state-of-hybrid-cloud-survey/

L’équipe ConfigMgr a publié un correctif à destination de System Center Configuration Manager 1806. Cette mise à jour (284366B8-7D7C-41FF-A407-A3D61EF98C85) s'adresse à ceux qui ont téléchargé cette version entre le 10 août et le 24 août 2018. Le correctif s’applique au serveur de site, aux consoles, et aux clients.

Note : les sites secondaires doivent être mis à jour manuellement et une procédure permet de vérifier la mise à jour effective de leurs bases de données.

Parmi les corrections, on retrouve :

• Les séquences de tâches qui ont une action de redémarrage avant une action d'installation de packages peuvent échouer.  Les messages d'erreur suivants sont enregistrés dans le fichier smsts.log :

Query = 'CCM_UUPPSFXConfig.SiteSettingsKey="1"'

WMI error reading policy, hr=0x80041010

Class CCM_UUPPSFXConfig does not exist in name space 'root\ccm\policy\machine' because client has version of

• Le responder service du PXE sans WDS, configuré après la mise à niveau vers Configuration Manager 1806, peut rejeter les demandes de démarrage PXE des clients lorsque le Management Point (MP) est distant.
• Il est impossible de supprimer un site secondaire. Après l'action de suppression, le site reste dans un état "active" ou "deleting".

• CMPivot ne parvient pas à exécuter un script PowerShell qui contient une commande pour récupérer une entrée de registre si la valeur de registre contient un NULL.

Pour installer la mise à jour, rendez-vous dans la partie Updates and Servicing de la console d’administration.

Plus d’informations sur la KB4459354 : Interoperability update for System Center Configuration Manager version 1806

L’équipe ConfigMgr a publié un correctif à destination de System Center Configuration Manager 1806 First Wave. Cette mise à jour s'adresse à ceux qui ont téléchargé cette version avant le 10 août 2018. Le correctif s’applique au serveur de site, aux consoles, et aux clients.

Note : les sites secondaires doivent être mis à jour manuellement et une procédure permet de vérifier la mise à jour effective de leurs bases de données.

Parmi les corrections, on retrouve :

Clients

• Les métadonnées AtomicUpdate et BundledUpdate utilisées pour le téléchargement delta peuvent être tronquées. Ceci engendre l’échec du téléchargement des mises à jour Unified Update Platform (UUP).
• Lorsque l'option de certificat généré par Configuration Manager est sélectionnée pour le site et qu'un client échoue à télécharger du contenu parce qu'il n'a pas le certificat de la PKI, si le client est redémarré, il échouera toujours à télécharger du contenu même si des emplacements de contenu basés sur des tokens sont disponibles.
• Après la mise à niveau vers la 1806, les clients n'envoient pas de messages Fallback Status Point sur l'état de communication du client ou du Management Point (MP).
• Lorsque le contenu téléchargé à partir d'un téléchargement delta ou CMBITSMgr, l'emplacement optimal du contenu n'est pas choisi pour l'ensemble du contenu d'un package.
• Certains messages d'état client peuvent ne pas être envoyés, ce qui fait que certains rapports comme le Co-Management, Windows Update for Business et les rapports de déploiement de mise à niveau sont désynchronisés.
• Un périphérique joint à Azure AD et connecté à Internet uniquement ne peut pas s'enregistrer si un MP a été retiré de la Cloud Management Gateway.
• Les séquences de tâches qui ont une action de redémarrage avant une action d'installation de packages peuvent échouer.  Les messages d'erreur suivants sont enregistrés dans le fichier smsts.log :

Query = 'CCM_UUPPSFXConfig.SiteSettingsKey="1"'

WMI error reading policy, hr=0x80041010

Class CCM_UUPPSFXConfig does not exist in name space 'root\ccm\policy\machine' because client has version of

Systèmes de site

• Ccmexec plante continuellement lorsque les Pull DPs sont installés.
• OfflineServicingMgr ne parvient pas à trouver l'emplacement de la bibliothèque de contenu lorsque la bibliothèque de contenu se trouve sur un chemin d'accès UNC. Les messages d'erreur suivants sont enregistrés dans le fichier OfflineservicingMgr.log :

SMS_OFFLINE_SERVICING_MANAGER Error getting valid content library path from registry value ContentLibraryPath

SMS_OFFLINE_SERVICING_MANAGER Content library location could not be found

SMS_OFFLINE_SERVICING_MANAGER Failed to read content library location used to get content of software updates

• Les fuites de OfflineServicingMgr entraînent une diminution des performances si il ne parvient pas à trouver l'emplacement de la bibliothèque de contenu avec un chemin UNC.
• Lorsque vous modifiez une stratégie de Co-Management existante, au lieu d'enregistrer les modifications, la stratégie est réinitialisée à l'état par défaut No AutoEnroll, toutes les fonctionnalités sont définies sur Configuration Manager et la collection pilote est vide.
• La révocation des certificats CRP se traite lentement et bloque le thread principal de SMS_CERTIFICATE_MANAGER.
• Lors de la mise à niveau, si vous avez des déploiements nécessitant des approbations qui font référence à des CI intégrés créés avant 1706, vous verrez des I/OS SQL significatifs et une utilisation élevée du CPU sur les MP au fur et à mesure que les CI et les déploiements sont mis à jour.
• L'assistant Phased Deployment Status affiche plusieurs lignes pour la même phase avec des données incohérentes lorsqu'une collection a des machines réparties sur plusieurs sites.
• Le nombre d'AADJoined et d'HybridAADJoined peut être incorrect dans le tableau de bord de Co-Management.
• On retrouve des délais excessifs pour les demandes de client sur la Cloud Management Gateway.
• Après une mise à niveau vers la 1806, la performance du site peut être diminuée avec une utilisation élevée d’I/O et de CPU par la procédure stockée sp_UpdResPolicyMap_PolicyAssignment.
• Les Super Peers peuvent échouer à télécharger une partie du contenu lorsque le Management Point est distant.
• SMS_STATE_STATE_SYSTEM est signalé comme critique en raison d'un backlog de messages d'état de script sans données de sortie et signalés comme corrompues.
• Le téléchargement échoue lorsque vous utilisez le canal de téléchargement Delta Download du client CCM pour télécharger les fichiers complets des mises à jour express.
• La procédure stockée MP_GetSuperPeerPeerContentLocations peut entraîner une diminution des performances SQL et bloquer les threads.
• Les Pull DPs peuvent ne pas être mis à jour parce que MOFCOMP échoue silencieusement lorsque le Distribution Manager l'exécute. Si les Pull DP ne sont pas mis à jour, le contenu ne peut pas être téléchargé.
• Le tableau de bord de l’état des clients en ligne de la CMG n’effectue pas correctement l’agrégation des données par heure à partir de plusieurs Management Points.
• Lorsque vous créez une CMG ou un Cloud DP ARM en utilisant un groupe de ressources existant, la région du groupe de ressources est utilisée pour créer les ressources indépendamment de la région que vous avez spécifié.
• La mise à niveau du DP échoue Si le PXE sans WDS est activé.
• CMPivot retourne NULL si les valeurs de registre sont NULL.
• Les données en direct BCP pour BGB_NetworkInfo échoue si il y a des sous réseaux dupliqués pour la même adresse IP et le même client.
• Le listener HTTP de la CMG s'arrête à cause d'une exception HttpListenerException.
• Une fois le PXE sans WDS activé, certains clients peuvent ne pas démarrer l'Assistant de séquence de tâches parce qu'un mot de passe est incorrectement attendu lorsque plusieurs clients démarrent en même temps. SMSTS.log indique que le mot de passe est incorrect même si l'assistant ne s'affiche pas et qu'aucun mot de passe n'est défini.
• Sur un serveur de site passif, les fichiers de messages d'état dans le dossier Staging des Management Point peuvent ne pas être traités.
• Le responder service du PXE sans WDS, configuré après la mise à niveau vers Configuration Manager 1806, peut rejeter les demandes de démarrage PXE des clients lorsque le Management Point (MP) est distant.
• Il est impossible de supprimer un site secondaire. Après l'action de suppression, le site reste dans un état "active" ou "deleting".

Console d’administration

• La console Configuration Manager plante si vous créez ou modifiez une ADR et réglez le paquet de déploiement sur "No deployment package".
• CMPivot n’a pas l'opérateur "not like".
• CMPivot ne parvient pas à exécuter un script PowerShell qui contient une commande pour récupérer une entrée de registre si la valeur de registre contient un NULL.

Pour installer la mise à jour, rendez-vous dans la partie Updates and Servicing de la console d’administration.

Plus d’informations sur la KB4346645 : Update for System Center Configuration Manager version 1806, first wave

Depuis quelques semaines, on voit apparaître des messages sur les différentes communautés à propos d’un problème pour l’enregistrement ou le renouvellement de certificats Machine avec Windows 10 1803.

Le problème survient si vous n’avez pas activé Windows Defender Credential Guard sur vos machines Windows 10 1803. Ceci ne concerne que les certificats machine.

Tous les autres scénarios (Certificats utilisateurs) ou machines ayant Credential Guard ne sont pas concernées par ce problème.

Dans ce cas de figure, Microsoft vient de publier un correctif permettant de résoudre ce problème : August 30, 2018—KB4346783 (OS Build 17134.254)

La KB indique le problème suivant : Corrige un problème qui provoque l'échec de l’enregisterment ou du renouvellement du certificat d'ordinateur avec une erreur "Accès refusé" après l'installation de la mise à jour d'avril 2018. Ce problème se produit lorsque le processus du registre a un identifiant de processus (PID) inférieur à tous les autres processus à l'exception de SYSTEM.

Plus d’informations sur un threat Reddit : https://www.reddit.com/r/SCCM/comments/9687cb/are_you_deploying_windows_10_1803_do_your/  

Vous avez surement remarqué ce phénomène, la console d’administration de System Center Configuration Manager est figée lorsque vous vous reconnectez à une session RDP où la console a été laissée ouverte. Dans ce cas de figure, vous devez tuer le processus de la console pour pouvoir la relancer.

Le problème a été identifié dans le .NET Framework et une mise à jour (actuellement en Preview) résout le problème. Cette dernière doit être installée sur la machine où la console est installée et où vous vous connectez en RDP.

Under certain conditions, WPF applications (like SCCM) using WindowChromeWorker experience high CPU usage or hangs. [621651]

Plus d’informations sur : https://blogs.msdn.microsoft.com/dotnet/2018/08/30/net-framework-august-2018-preview-of-quality-rollup/

Microsoft a publié une nouvelle version (Août 2018) de SQL Operations Studio. Pour rappel ces outils sont disponibles depuis Windows, macOS, et Linux pour permettre de gérer SQL Server, Azure SQL DB, et Azure SQL Data Warehouse.

Cette version inclut les éléments suivants :

• Arrivée de l’extension représentant l’assistant SQL Server Import.
• L’extension Profiler supporte maintenant la gestion des sessions.
• De nouvelles extensions communautaires avec First Responder Kit permettant de comprendre pourquoi un serveur SQL est lent.
• Amélioration de l’expérience autour des chaines de connexion (connection strings)
• Résolution de pas moins de 27 bugs.

Plus d’informations : https://cloudblogs.microsoft.com/sqlserver/2018/08/30/the-august-release-of-sql-operations-studio-is-now-available/

Télécharger SQL Operations Studio

Steven Rachui (PFE Microsoft) a publié une série de vidéos sur le déploiement de système d’exploitation avec System Center Configuration Manager. Les vidéos partenet des éléments de base pour aller vers des éléments essentiels.

• Operating System Deployment - Part I - Introduction and Basics
• Operating System Deployment - Part II - Obtain and Import the Image
• Operating System Deployment - Part III - Task Sequencing
• Operating System Deployment - Part IV - Image Deployment
• Operating System Deployment - Part V - The Logical Task Sequence
• Operating System Deployment - Part VI - Task Sequence variables - a deeper dive
• Operating System Deployment - Part VII - Driver Management
• Operating System Deployment - Part VIII - Understanding PXE
• Operating System Deployment - Part IX - Standalone USMT
• Operating System Deployment - Part X - USMT and OSD
• Operating System Deployment - Part XI - MDT Integration
• Operating System Deployment - Part XII - OSD and the ADK
• Operating System Deployment - Part XIII - to be Known or to be Unknown - that is the question
• Operating System Deployment - Part XIV – Pre-staged Media
• Operating System Deployment - Part XV - Advanced Concepts
• Operating System Deployment - Part XVI - OSD BIOS or UEFI
• Operating System Deployment - Part XVII - OSD and Custom Boot Images - Process and Strategy
• Operating System Deployment - Part XVIII - Advanced Scenarios 2
• Operating System Deployment - Part XIX – DaRT
• Operating System Deployment - Part XX - Automating and Custom OSD
• Operating System Deployment - Part XXI– Troubleshooting
• Operating System Deployment - Part XXIII - Nested Task Sequences

Source : https://blogs.technet.microsoft.com/configurationmgr/2018/07/27/osd-video-tutorial-part-9-standalone-usmt/

Microsoft vient d’annoncer la mise à disposition d’un nouvel ensemble de fonctionnalités pour Microsoft Intune.

Les fonctionnalités suivantes sont ajoutées :

Enregistrement des périphériques

• [Général] Mise à jour de l’expérience utilisateur pour le site web du portail d’entreprise. Ces nouvelles fonctionnalités, basées sur les commentaires des clients, avec des zones du site - comme les détails du périphérique, la partie Feedbacks et support et l'aperçu du périphérique- qui ont fait l'objet d'une nouvelle conception moderne et réactive. On retrouve aussi :
  • Des scénarios rationalisés sur toutes les plates-formes de périphériques
  • L’amélioration de l'identification des périphériques et des scénarios d’enregistrement
  • Des messages d'erreur plus utiles
  • Un langage plus proche de l’utilisateur avec moins de jargon technologique
  • La possibilité de partager des liens directs vers des applications.
  • Des performances améliorées pour les catalogues d'applications volumineux
  • L’accessibilité accrue pour tous les utilisateurs

Plus d’informations sur : UI updates for Intune end-user apps.

• [Windows 10] Vous pouvez maintenant affecter un utilisateur à un seul périphérique AutoPilot. Les administrateurs pourront également donner des noms pour accueillir l'utilisateur lors de la configuration de leur périphérique avec AutoPilot. S'applique à : Windows Insider 1809 ou version ultérieure.

• [Windows 10] Vous pouvez spécifier un modèle de nom d'ordinateur pour générer et définir le nom de l'ordinateur lors de l’enregistrement avec Windows AutoPilot.
• [Windows 10] Il existe de nouvelles options de profil Windows Autopilot pour les administrateurs afin de masquer l’options de changement de compte sur les pages d'erreur d'ouverture de session et de domaine. Pour masquer ces options, il faut que le branding de la société soit configurée dans Azure Active Directory. S'applique à Windows Insider 1809 ou version ultérieure.

• [Windows 10] Vous pouvez bloquer l’enregistrement des appareils personnels Windows 10 (BYOD).
• [iOS/macOS] Si quelqu'un essaie de supprimer un certificat Apple MDM Push, une boîte de dialogue de confirmation affiche le nombre de périphériques iOS et macOS associés. Si le certificat est supprimé, ces périphériques devront être réenregistrés.
• [iOS] Vous avez maintenant la possibilité d'exécuter le portail d'entreprise en mode Single App si vous authentifiez un utilisateur par l'intermédiaire du portail d'entreprise au lieu de l'assistant de configuration lors de l’enregistrement DEP. Cette option verrouille le périphérique immédiatement après la fin de l'assistant de configuration, de sorte qu'un utilisateur doit se connecter pour accéder au périphérique. Ce processus permet de s'assurer que l'appareil termine l’enregistrement et n'est pas dans un état orphelin sans qu'aucun utilisateur ne soit lié.
• [iOS] Vous pouvez maintenant utiliser les licences périphériques du Programme d'achat en volume (VPP) pour pré-provisionner le portail d’entreprise pendant l’enregistrement au Programme Apple Device Enrollment Program (DEP). Pour ce faire, lorsque vous créez ou modifiez un profil d’enregistrement, spécifiez le token VPP que vous souhaitez utiliser pour installer le portail d'entreprise. Assurez-vous que votre token n'expire pas et que vous avez suffisamment de licences pour le portail d’entreprise. Dans les cas où le token expire ou n'a plus de licences, Intune va pousser le portail d’entreprise à partir de l’App Store à la place (ce qui demandera un Apple ID).
• [macOS] Support de l’enregistrement de périphériques macOS via le programme Apple Device Enrollment Program (DEP).
• [macOS] Le Portail d’entreprise sur macOS inclut maintenant le numéro de version dans le nom du fichier d'installation.

Gestion du périphérique

• [Général] Changement de la terminologie pour "Retire" et "Wipe". Par souci de cohérence avec GraphAPI, l'interface utilisateur et la documentation de Intune ont modifié les termes suivants :
  • Remove company data sera changé pour "Retire".
  • Factory Reset sera changé pour Wipe.
• [Windows 10] Vous pouvez permettre aux utilisateurs de contrôler les installations d'applications. Si cette option est activée, les installations qui pourraient autrement être arrêtées en raison d'une violation de la sécurité sont autorisées à continuer. Vous pouvez demander à l'installateur Windows d'utiliser des permissions élevées lorsqu'il installe n'importe quel programme sur un système. En outre, vous pouvez activer l'indexation des éléments Windows Information Protection (WIP) et les métadonnées les concernant tout en étant stocké dans un emplacement non chiffré. Lorsque la stratégie est désactivée, les éléments protégés par WIP ne sont pas indexés et n'apparaissent pas dans les résultats de Cortana ou dans l'explorateur de fichiers. La fonctionnalité de ces options est désactivée par défaut.
• [Windows 10] Vous pouvez configurer les profils VPN Windows 10 pour enregistrer dynamiquement les adresses IP attribuées à l'interface VPN avec le DNS interne, sans avoir besoin d'utiliser des profils personnalisés.
• [iOS] Dans Intune > Software Updates > Update policies for iOS, vous pouvez configurer les jours et les heures où vous ne voulez pas que les périphériques installent des mises à jour. Dans une prochaine version, vous pourrez retarder l’affichage d’une mise à jour, de 1 à 90 jours.

• [macOS] Vous pouvez supprimer les périphériques gérés par JAMF en allant dans Devices > choisissez le périphérique Jamf > Delete.

Configuration du périphérique

• [Général] Les stratégies de conformité créées sur le portail Azure classic seront bientôt obsolètes. Vous pouvez consulter et supprimer les politiques de conformité existantes, mais vous ne pouvez pas les mettre à jour. Si vous devez migrer des politiques de conformité vers le portail Intune Azure actuel, vous pouvez exporter les politiques sous la forme d'un fichier séparé par des virgules (fichier.csv). Ensuite, utilisez les détails du fichier pour recréer ces politiques dans le portail Intune Azure.
• [Windows 10] Lorsque vous créez une stratégie Windows Hello for Business, elle s'applique à tous les utilisateurs au sein de l'organisation. Avec cette mise à jour, la stratégie peut également être appliquée à des utilisateurs spécifiques ou à des périphériques spécifiques à l'aide d'une stratégie de configuration des périphériques (Device Configuration > Profiles > Create profile > Identity Protection > Windows Hello for Business).

• [Windows 10] Vous pouvez maintenant activer le mode Federal Information Processing Standards (FIPS) pour les profils Wi-Fi d'entreprise pour Windows 10.
• [Windows 10] Vous pouvez créer un profil de configuration de périphérique qui fait passer un périphérique Windows 10 du mode S au mode S, ou empêcher les utilisateurs de passer du au mode S. Cette fonctionnalité se trouve dans Intune > Device configuration > Profiles > Windows 10 and later > Edition upgrade and mode switch. Ceci ne s'applique qu’à Windows 10 1809 et plus.
• [Windows 10] Lorsque vous utilisez Windows Defender Advanced Threat Protection et Intune, vous deviez auparavant télécharger un package de configuration et l'ajouter à votre profil de configuration. Avec cette mise à jour, Intune reçoit automatiquement le package de Windows Defender Security Center, et l'ajoute à votre profil.
• [Windows 10] Vous pouvez maintenant définir des profils de périphérique pour exiger que le périphérique se connecte à un réseau avant de passer la page Réseau pendant la configuration de Windows 10. Ne s’applique qu’à Windows 10 Insider.
• [iOS] Vous pouvez créer un type de connexion Zscaler pour la création d’un profil VPN sur iOS.
• [iOS] Dans Device compliance > Policies > Create policy > iOS > System Security, il y a un nouveau paramètre Restricted applications. Ce nouveau paramètre utilise une stratégie de conformité pour bloquer l'accès aux ressources de l'entreprise si certaines applications sont installées sur l'appareil. L'appareil est considéré comme non conforme jusqu'à ce que les applications restreintes soient retirées de l'appareil.
• [iOS]Mise à jour pour ajouter le support des clients VPN iOS suivants :
  • F5 Access (version 3.0.1 et plus)
  • Citrix SSO
  • Palo Alto Networks GlobalProtect version 5.0 et plus
  • Les types de connexion F5 Access existants sont renommés F5 Access Legacy for iOS.
  • Les types de connexion Palo Alto Networks GlobalProtect existants sont renommés Palo Alto Networks GlobalProtect (legacy) for iOS.

Gestion des applications

• [Windows 10] Lorsque vous déployez des applications Office 365 ProPlus aux périphériques Windows 10 en utilisant Intune, vous pouvez sélectionner la version d'Office. Dans le portail Azure, sélectionnez Microsoft Intune > Apps > Add App. Ensuite, sélectionnez Office 365 ProPlus Suite (Windows 10) dans la liste déroulante Type. Sélectionnez App Suite Settings pour afficher la lame associée. Réglez le canal de mise à jour sur une valeur, telle que Monthly. Si nécessaire, supprimez l'autre version d'Office (msi) des périphériques de l'utilisateur final en sélectionnant Oui. Sélectionnez la version spécifique d'Office pour le canal à installer sur les périphériques de l'utilisateur final. Les déploiements actuels continueront à déployer l'ancienne version, mais la liste des versions sera continuellement mise à jour par canal.

•  [iOS] Support des tunnels de paquets pour les profils VPN iOS par application pour les types de connexion personnalisés et Pulse Secure. Lorsque vous utilisez les profils VPN iOS par application, vous pouvez choisir d'utiliser le tunneling au niveau de l’application (app-proxy) ou le tunneling au niveau du paquet (packet-tunnel).
• [iOS] Les mises à jour automatiques des applications fonctionnent à la fois pour les applications sous licence périphérique et utilisateur pour iOS version 11.0 et supérieure.

Sécurité du périphérique

• [Général] Vous pouvez contrôler l'accès des périphériques mobiles aux ressources de l'entreprise en utilisant l'accès conditionnel basé sur l'évaluation des risques réalisée par Better Mobile, une solution Mobile Threat Defense qui s'intègre à Microsoft Intune. Note : BETTER offre 50 licences de périphériques gratuites pour 18 mois à tous les tenants Microsoft Intune. Plus d’informations sur : https://www.better.mobi/intune

• [Général] Vous pouvez créer des balises pour limiter l'accès aux ressources d'Intune. Ajoutez une balise à une affectation de rôle, puis ajoutez la balise scope à un profil de configuration. Le rôle n'aura accès qu'aux ressources dont les profils de configuration ont des balises de portée correspondantes (ou aucune balise de portée).
• [iOS] Le paramètre de détection de jailbreak amélioré apparaît maintenant dans tous les rapports de conformité de la console d'administration.

Plus d’informations sur : https://docs.microsoft.com/en-us/intune/whats-new

Microsoft a changé les conditions de licence pour Azure Active Directory. Parmi les changements notables, on retrouve :

• Les entreprises peuvent maintenant acheter le service Azure AD Identity Protection pour un sous ensemble d’utilisateurs
• Les clients Azure AD Premium 1 (P1) peuvent activer les restrictions basées sur le proxy dans l’accès conditionnel.
• Les clients Azure AD Premium 1 (P1) peuvent utiliser des contrôles personnalisés comme des intégrations à des solutions d’authentification à facteurs multiples (MFA) tierces.

Plus de détails sur : https://azure.microsoft.com/en-us/pricing/details/active-directory/

Microsoft vient de publier une nouvelle Preview (1.36.18.0) du client pour son service Microsoft Azure Information Protection. Parmi les changements sur le client, on retrouve :

• Prise en charge de nouveaux types d'informations sensibles pour vous aider à classer les documents contenant des informations personnelles.
• Prise en charge de la labelisation pour le format Strict Open XML Document dans les fichiers Word, Excel et PowerPoint.
• Prise en charge de la norme ISO pour le chiffrement des PDF, en configurant une nouvelle option avancée du client. Lorsque cette option est configurée, les documents PDF que vous protégez conservent leur extension de nom de fichier.pdf (plutôt que de passer à.ppdf) et peuvent être ouverts par des lecteurs PDF qui prennent en charge cette norme ISO.
• Prise en charge des fichiers qui ont été protégés par Secure Islands lorsque ces fichiers ne sont pas des documents PDF et Office. Par exemple, des fichiers texte et images protégés. Ou, les fichiers qui ont une extension de nom de fichier.pfile. Ce support permet de nouveaux scénarios, tels que le scanneur Azure Information Protection qui permet d'inspecter ces fichiers à la recherche d'informations sensibles et de les ré-étiqueter automatiquement pour Azure Information Protection.
• Lorsque vous classifiez et protégez en utilisant PowerShell ou le scanneur, les métadonnées des documents Office ne sont pas supprimées ou chiffrées.
• L'affichage des e-mails à l'aide des icônes de flèche Élément suivant et Élément précédent sur la barre d'outils Accès rapide affiche l'étiquette correcte pour chaque e-mail.
• Les permissions personnalisées prennent en charge les adresses électroniques des destinataires qui contiennent une apostrophe.
• L'environnement informatique s'initialisera avec succès (bootstrap) lorsque cette action est lancée en ouvrant un document protégé stocké dans SharePoint Online.
• Plusieurs correctifs importants.

Parmi les changements sur le scanneur, on retrouve 

• Nouvelle cmdlet, Update-AIPScanner : Requis pour fonctionner une fois après la mise à niveau de la version 1.26.6.0 ou antérieure.
• Nouvelle cmdlet, Get-AIPScannerStatus : Obtient l'état actuel du service pour le scanner.
• Nouvelle cmdlet, Start-AIPScan : Demande au scanneur de démarrer un cycle d’analyse ponctuel lorsque l'horaire est réglé sur manuel.
• SharePoint Server 2010 est pris en charge pour les clients qui ont étendu le support de cette version de SharePoint.
• Pour les documents protégés dans les bibliothèques SharePoint, si le paramètre DefaultOwnerparameter n'est pas utilisé pour le référentiel de données, la valeur SharePoint Editor est maintenant utilisée comme valeur par défaut au lieu de la valeur Author.
• Les rapports du scanneur incluent "Dernière modification par" pour les documents Office.
• Pour le scanneur, la liste d'exclusion par défaut inclut maintenant les fichiers.rtf

Télécharger Azure Information Protection Client Preview

Microsoft vient de mettre à disposition la Technical Preview 1808 (5.0.8707.1000) de System Center Configuration Manager. Pour rappel, ConfigMgr a subi une refonte de sa structure pour permettre des mises à jour aisées de la même façon que l’on peut le voir avec Windows 10. Si vous souhaitez installer cette Technical Preview, vous devez installer la Technical Preview 1804 puis utiliser la fonctionnalité Updates and Servicing (nom de code Easy Setup).

System Center Configuration Manager TP 1808 comprend les nouveautés suivantes :

Déploiement d’applications

• Un nouveau bouton est disponible dans le Centre Logiciels pour réparer une application. Vous pouvez configurer la ligne de commande de réparation sur le type de déploiement d’une application.

Mise à jour logicielles et conformité

• La fonctionnalité Phased Deployment est maintenant disponible pour les mises à jour logicielles. Ceci permet d’orchestrer, de coordonner et de séquencer le déploiement d’une application. Vous pouvez naviguer dans Software Library – Software Updates – All Software Updates/Office 365 Updates, sélectionnez l’application et choisissez Create Phased Deployment

Plus d’informations sur : https://docs.microsoft.com/en-us/sccm/core/get-started/capabilities-in-technical-preview-1808

Microsoft vient de mettre à disposition une nouvelle préversion (1.2018.821.0) de l’outil de packaging MSIX (MSIX Packing Tool) depuis le Microsoft Store. Cet outil permet de prendre un package d’application Win32 existant et de la convertir au format MSIX. Vous utilisez pour cela une machine de référence pour exécuter l’outil et obtenir le package MSIX que vous pouvez ensuite déployer à la main, par votre outil de télédistribution ou depuis le Microsoft Store.

Pour rappel, le format MSIX est un nouveau format standardisé lancé par Microsoft pour remplacer l’ensemble des formats de packaging existants tout en bénéficiant des avancés des différentes solutions : Click-To-Run (C2R), App-V, APPX et plus généralement du Framework d’applications universelles (UWP). Il offre donc des mécanismes de conteneurisation et les bénéfices des applications universelles avec une installation, mise à jour et désinstallation aisée sans laisser aucune trace sur le système. Il fournit aussi des mécanismes de sécurisation avancés permettant de valider l’intégrité du code exécuté. Ce format permet aussi de créer des personnalisations pour les applications packagées et de les faire perdurer au travers des différentes mises à jour de l’application.

Cette préversion ajoute les fonctionnalités :

• Ajout du support de l’invite de commande
• Ajout de la capacité d’utiliser une machine virtuelle locale existante pour l’environnement de packaging
• Ajout de la possibilité de vérifier les informations de l’éditeur dans le manifest avec un certificat de signature afin d’éviter les problèmes de signature
• Ajout de mise à jour mineur à l’interface pour la clarifier.

Ceci s’ajoute aux capacités principales existantes :

• Packaging d’applications au format MSI, EXE, App-V 5.x) vers MSIX
• Créer un package de modification pour un package nouvellement créé via l’option Modification Package
• L’ouverture d’un package MSIX pour voir et éditer les propriétés via l’option Open package editor.

Il n’est pour l’instant pas possible de convertir des packages App-V 4.6 SP3, d’avoir accès à l’interface en ligne de commande, de packager sur un machine virtuelle existant, et certaines options ne permettent pas encore d’ajout ou supprimer des fichiers virtuels ou des éléments dans le registre virtuel.

Pour accéder à l’outil, vous devez :

• Participer au programme Windows Insider Fast ou Slow Ring
• Avoir Windows 10 17701 ou plus
• Avoir les droits d’administrateur sur la machine
• Avoir un compte Microsoft pour accéder au Microsoft Store.

Plus d’informations sur : MSIX Packaging Tool (Preview) is now available from the Microsoft Store

Plus d'éléments sur le format MSIX sur MSIX Intro

Télécharger MSIX Packing Tool

Microsoft propose une vidéo via Microsoft Mechanics pour présenter les dernières nouveautés du service Microsoft Cloud App Security. MCAS est une solution CASB qui assure la découverte, la conformité, la protection de l'information et la protection contre les menaces pour les services natifs de Microsoft et les applications tierces.

Parmi les nouveautés présentées dans la vidéo, on retrouve :

• Découverte d'applications métier (LoB)
• Évaluation de la conformité GDPR de toutes les applications de votre organisation.
• Détection des ransomware et des activités des utilisateurs qui ne devraient plus avoir accès aux ressources de votre entreprise.
• Surveillance et contrôle des sessions des utilisateurs en temps réel avec le contrôle des applications avec accès conditionnel.
• Gestion centralisée du DLP avec le moteur de classification des données de Microsoft

Source : https://techcommunity.microsoft.com/t5/Security-Privacy-and-Compliance/Microsoft-Cloud-App-Security-Updates-Microsoft-Mechanics/ba-p/234827

Vous avez mis à jour d’une version Windows 10 à l’autre et les applications modernes précédemment retirées sont revenues ? Vous avez provisionné une application pour tous les utilisateurs mais cette dernière n’a pas été chargée lors de l’ouverture de session et du profil ?

Autant de questions qui peuvent nécessiter du dépannage avancé.

DISM et PowerShell peut être une première réponse. L’observateur d’événements peut vous donner des éléments en naviguant dans : Applications and Services logs – Microsoft – Windows – AppxDeployment et AppxDeployment-Server

Mais le registre peut fournir des éléments intéressants via : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Appx\AppxAllUserStore

On retrouve différentes clés :

• Applications
• Deleted avec des sous clés :
  • EndofLife pour les applications retirées par l’éditeur
  • Upgrade : pour des applications qui ont été mises à niveau
• Deprovisioned : liste les applications qui ont été retirés globalement par un administrateur via DISM ou les Cmdlets PowerShell.
• InboxApplications pour les applications essentielles au système qui ne peuvent être désinstallées. Ceci inclut Microsoft Edge
• Les clés correspondant au SID de l’utilisateur qui listent toutes les applications installées pour l’utilisateur
• Staged : Les applications provisionnées pour tous les utilisateurs.

Par exemple pour Windows 10 1703 ou 1709, vous pouvez créer des clés spécifiques sous Deprovisioned pour s’assurer que celles qui ont été retirées ne seront plus réinstallée avec la version 1803.

Aaron Margosisv (Microsoft) a créé une boite à outils de script qui visent à créer et maintenir des règles de liste blanche AppLocker. Les scripts PowerShell documentent les exécutions d’applications sur des dossiers qui sont écrivables par un utilisateur standard. Il permet ainsi de bloquer et créer les règles adéquates.

Plus d’informations sur le billet d’Aaron : Application whitelisting with “AaronLocker”

Télécharger les scripts

Microsoft a annoncé la fin de support d’iOS 9 par Microsoft Intune à partir de Septembre. La sortie d’iOS 12 est attendue pour septembre 2018 et après cette date l’enregistrement à Microsoft Intune, le portail d’entreprise et le navigateur géré (Managed Browser) demanderont à minima iOS 10.

Microsoft rappelle que les applications mobiles d’Office 365 ne sont déjà plus compatibles iOS 9. Les périphériques suivants sont concernés :

• iPhone 4S
• iPod Touch
• iPad 2
• iPad (3^ème Génération)
• iPad Mini (1^er Génération)

Vous devez donc les remplacer vers des périphériques plus récents qui supportent au moins iOS 10.

Pour identifier les périphériques qui ne seront plus compatibles, vous pouvez :

• Pour Intune en mode autonome, naviguez dans Devices – all devices et filtrer sur le système d’exploitation
• Pour Intune en mode hybride avec Configuration Manager, naviguez dans Assets and Compliance – Devices et ajoutez la colonne Operating System et Client Version pour trouver les périphériques concernés.

Les stratégies de protection des applications peuvent aussi vous permettre dès aujourd’hui de demander une version de système d’exploitation minimum avec le paramètre : « Require minimum iOS operating system (Warning only) »

Chris Jackson (Microsoft) a publié un billet sur la fonctionnalité de réduction de la surface d’attaque (ASR) présente dans Windows 10 via Windows Defender Exploit Guard. Le principal problème de cette fonctionnalité est que les différentes atténuations peuvent avoir des impacts sur les applications utilisées ; ceci inclut aussi des applications Microsoft telles qu’Excel.

Son article revient sur la stratégie à adopter lors de l’implémentation de la fonctionnalité : Interpreting Exploit Guard ASR audit alerts

Matt Shadbolt (MSFT) a publié un billet pour décrire la marche à suivre lorsque vous devez dépanner l’application de stratégies MDM sur Windows 10 via Microsoft Intune.

Le premier point de passage est l’observateur d’événements (eventvwr) en naviguant dans Application and Services Logs – Microsoft - Windows - DeviceManagement-Enterprise-Diagnostics-Provider.

Le journal Admin donne des éléments intéressants mais vous pouvez activer le mode Debug via le menu View puis Show Analytics and Debug Logs. Un journal Debug apparaît alors. Vous pouvez l’activer et relancer une synchronisation pour avoir plus de détails.

Pour en apprendre plus, rendez-vous sur : Troubleshooting Windows 10 Intune Policy Failures

Microsoft a mis à jour une nouvelle fois la baseline permettant de vérifier l’état de conformité des machines vis-à-vis des vulnérabilités Spectre et Meltdown (Speculation Execution Side-Channel) avec System Center Configuration Manager. Cette version ajoute la vérification de la vulnérabilité CVE-2018-3620.

La baseline vérifie si la protection est activée pour les quatre vulnérabilités suivantes :

• CVE-2018-3620 (L1 Terminal Fault)
• CVE-2018-3639
• CVE-2017-5715
• CVE-2017-5754

La baseline requiert PowerShell 3.0 pour fonctionner.

Télécharger Speculation Execution Side-Channel Vulnerabilities Configuration Baseline

Source : https://blogs.technet.microsoft.com/configurationmgr/2018/08/20/speculative-execution-configuration-baseline-updated-for-l1tf-cve-2018-3620/