Microsoft a publié un script à destination de Microsoft Teams permettant de créer un Team public à l’échelle de l’entreprise. Le script utilise le module PowerShell Microsoft Teams ainsi que le module Azure AD pour récupérer la liste des utilisateurs associé au tenant.

Télécharger PowerShell script - Create org-wide team in Microsoft Teams

Microsoft fournit un correctif non officiel au Management Pack pour Microsoft Azure et corriger le comportement du moniteur vérifiant les certificats d’administration Azure. Ce Management Pack corrige le fait qu’il ne donne pas le nom du certificat ainsi que la possibilité de ne pas superviser certains certificats.

Plus d’informations sur : Replacement Azure Management Certificate Monitoring

Lorsque vous utilisez Office en version 16.0.8628.2010 ou plus avec le client Azure Information Protection sur une configuration à écrans multiples, il est nécessaire d’adapter la configuration.  Il se peut en effet que la barre du client AIP soit affichée en dehors des applications Office. Vous devez alors activer le support hérité pour les écrans dans File > Options > General > User Interface options.

Si vous voyez l’option Use best settings for my display/Utiliser les paramètres optimaux pour mon écran, désactivez l’option.

Si vous voyez l’option When using multiple display/Lors de l’utilisation de plusieurs écrans, configurez à Optimize for compatibility/Optimiser pour la compatibilité.

Microsoft travaille sur la correction du problème dans la prochaine préversion du client qui sera la prochaine version générale.

Source : https://docs.microsoft.com/en-us/information-protection/rms-client/client-admin-guide-install

Avec la mobilité, le télétravail, et les services dans le Cloud, on parle de plus en plus d’identité Cloud. Nombreuses sont les entreprises qui utilisent un fournisseur d’Identity as a Service (IDaaS). C’est le fer de lance de Microsoft qui propose Azure Active Directory, l’annuaire dans le Cloud qui constitue la base de tous les services Cloud (Office 365, Microsoft Intune, etc.). Jusqu’alors les questions autour de ce service se posaient avec Office 365 qui engendrait l’usage d’Azure Active Directory (Edition Basic) pour les entreprises qui souscrivaient au service.

Avec l’augmentation des services Cloud, Azure Active Directory constitue une pierre angulaire qui touche aujourd’hui une autre brique essentielle : Le poste de travail. Avec l’arrivé de Windows 10, il est désormais possible de joindre une machine à Azure Active Directory en lieu et place d’Active Directory. Cela signifie que la relation de confiance se fait avec l’annuaire dans le Cloud offrant du SSO pour les services associés. Dans le même temps, ce scénario permet plus facilement la mobilité, le télétravail et la souplesse de la gestion qui s’en voit modernisée.

Dans les prochains mois, les entreprises vont se mettre à hybrider l’identité de manière à permettre les scénarios croisés suivants :

• Machines jointes à Azure Active Directory d’accéder aux ressources internes : serveurs de fichiers, applications internes, etc.
• Machines jointes à Active Directory d’accéder aux ressources Cloud avec du Single Sign-On (Office 365, etc.) mais aussi à fournir des fonctionnalités supplémentaires comme l’accès conditionnel, le Co-Management, etc.

L’hybridation est un élément essentiel à planifier dans l’évolution du Service Informatique de manière à offrir une expérience utilisateur cohérente. Quelque soit la stratégie d’identité que vous percevez, je vous invite à lire un article très intéressant qui parle du Design : Azure Active Directory Hybrid Identity Design Considerations

L’objet de cet article permet d’aborder les différentes opérations pour réaliser les deux scénarios cités plus haut :

• Pour permettre à des machines jointes à Azure Active Directory d’accéder aux ressources internes, il faut réécrire les enregistrements créés dans l’annuaire interne : Device Writeback.
  Notez que les enregistrements d’un tenant Azure Active Directory ne peuvent pas être réécrits dans plus forêts.
• Pour permettre à des machines jointes à Active Directory d’accéder aux ressources Cloud avec du Single Sign-On (Office 365, etc.), il faut qu’elles s’enregistrent dans Azure Active Directory. C’est ce qu’on appelle la jointure hybride Azure AD (Hybrid Azure AD Join) ou anciennement Domain Join++ (DJ++).

On distingue un troisième scénario que l’on appelle Azure AD registered (ou anciennement Workplace Join) et qui concerne les périphériques Bring Your Own Device (BYOD) et donc non joints à Active Directory ou Azure Active Directory. Ceci peut concerner donc les périphériques iOS, Android ou Windows 10 où un compte Azure Active Directory a été ajouté à un des services Cloud utilisés localement (Office 365, Microsoft Intune). Dans le cas de Windows 10, cela correspond à l’ajout du compte Azure Active Directory comme compte du système.

Note : Ces scénarios s’appliquent quelque soit le mode d’authentification utilisé : Synchronisé, Fédéré (via Active Directory Federation Services ou d’autres services) ou via l’authentification Pass-Through.

Si vous souhaitez en apprendre plus sur les mécanismes d’authentification présents derrière l’hybridation, je vous invite à regarder l’excellente vidéo de Jairo Cadena (PM Identity – Microsoft) à l’occasion du Microsoft Ignite 2016 : Join your Windows 10 devices to Azure AD for anywhere, anytime productivity

Prérequis généraux

Cet article part du principe que vous avez installé ou configuré un certain nombre de prérequis comme :

• Un annuaire Active Directory On-Premises. Selon la configuration de votre annuaire (une ou plusieurs forêts), les opérations qui suivent peuvent diverger.
• Un tenant Azure Active Directory.
  • Scénario Device Writeback : Ceci requiert l’édition Premium (P1 ou P2) d’Azure Active Directory.
  • Scénario Azure AD Hybrid Join : Vous pouvez l’utiliser sous toutes les formes: Au travers d’Office 365, Azure Active Directory Free, Basic ou Premium (P1 ou P2).
• Azure AD Connect permettant la synchronisation d’une partie de votre annuaire dans l’annuaire dans le Cloud Azure Active Directory. Vous devez à minima synchroniser les utilisateurs. Pour plus d’informations sur son installation, rendez-vous sur : Integrate your on-premises directories with Azure Active Directory.
• Windows 10 1511 ou ultérieur. Microsoft recommande l’usage de Windows 10 1803 avec KB4489894 pour éviter les états dupliqués.

Rappel : Active Directory Federation Services (AD FS) n’est pas nécessaire puisque les scénarios sont aussi valables pour des identités avec synchronisation du mot de passe ou authentification Pass-Through.

L’article suivant ne s’applique qu’avec des contrôleurs de domaine Windows Server 2008 R2 ou plus. Pour des contrôleurs de domaine de versions antérieures, vous devez utiliser des scripts dédiés.

Afin de permettre le second scénario, assurez-vous que vous autorisez la jointure à Azure Active Directory. Pour cela, ouvrez le portail Azure Active Directory avec un compte Global Administrator du tenant. Puis naviguez dans Azure Active Directory – Devices – Device settings. Validez que l’option Users may join devices to Azure AD est soit sur All soit sur Selected avec un groupe d’utilisateurs qui feront l’objet de votre démarche d’hybridation.

Pour le premier scénario, vous devez vous assurer que l’option Users may register their devices with Azure AD est à All. L’option peut être grisée sur cette option si vous utilisez des services Cloud tels que Microsoft Intune ou Office 365. En effet, cette option constitue un prérequis.

Configuration de l’hybridation Azure AD vers Active Directory (Device Writeback)

Commencez par valider que vous disposez bien de l’abonnement à Azure AD Premium (P1 ou P2) ou Enterprise Mobility + Security (EMS) ou Microsoft 365.

La première étape consiste à préparer Active Directory en procédant à l’extension du schéma nécessaire.

Sur la machine où vous avez installé Azure AD Connect, vous devez installer la fonctionnalité Remote Server Administration Tools for AD DS. Vous pouvez le faire via PowerShell: Add-WindowsFeature RSAT-AD-Tools.

Validez ensuite que le module PowerShell Azure Active Directory est installé. Dans le cas contraire, vous pouvez le télécharger et l’installer.

Identifiez ensuite le compte utilisé pour exécuter Azure AD Connect en ouvrant la console des services sur le serveur. Cherchez le service Microsoft Azure AD Sync :

L’étape qui suit procède à l’extension de schéma, suivez votre procédure interne pour cette action. Lancez PowerShell en tant qu’enterprise admin et exécutez la commande suivante :

Import-Module 'C:\Program Files\Microsoft Azure Active Directory Connect\AdPrep\AdSyncPrep.psm1'

Initialize-ADSyncDeviceWriteback –DomainName <NOM DE DOMAINE INTERNE utilisé pour stocker les objets> -AdConnectorAccount <NOM DU COMPTE UTILISATEUR QUI EXECUTE LE SERVICE AAD CONNECT>

Une fois la commande exécutée, vous pouvez valider l’apparition d’un conteneur RegisteredDevices dans l’arborescence de votre annuaire. La commande a aussi spécifier les permissions adéquates pour le compte qui exécute le connecteur Azure Active Directory :

Via ADSIEdit, vous pouvez aussi valider la création du conteneur Device Registration Services dans la partition de configuration puis Services :

Lancez ensuite l’assistant Microsoft Azure Active Directory Connect et cliquez sur Configure.

Sur l’écran suivant, sélectionnez la tâche Customize synchronizaiton options puis entrez les identifiants d’un administrateur global du tenant.

Passez l’écran Connect Directories dans la mesure où cette opération a déjà été réalisée lorsque vous avez installé Azure AD Connect.

Sur l’écran Domain/OU Filtering, vous pouvez noter que le conteneur RegisteredDevices a été automatiquement coché pour signifier la synchronisation des objets Azure AD.

Sur l’écran Optional features, cochez la case Device writeback.

Note: Si la case est grisée, cela signifie que les permissions du compte de service qui exécute Azure AD Connect n’ont pas correctement été configurée sur les conteneurs.

Spécifiez la forêt dans laquelle réécrire les enregistrements associés au tenant. En effet comme expliqué dans l’introduction, il n’est possible de réécrire les périphériques que dans une seule forêt excepté si vous synchronisez plusieurs tenants Azure AD.

Enfin terminez l’assistant en cliquant sur Configure pour lancer la synchronisation puis Exit.

Après quelques minutes, des enregistrements de type msDS-Device apparaissent dans le conteneur Registered Devices.

Dès lors les machines jointes à Azure Active Directory peuvent accéder aux ressources internes sans avoir à renseigner leurs identifiants à nouveau. Les enregistrements sont créés sur l’annuaire On-Premises en fonction de l’intervalle de synchronisation d’Azure AD Connect.
Pour la suite, je vous invite à lire la suite de l’article ou à passer à la gestion du cycle de vie des enregistrements.

Configuration de l’hybridation Active Directory vers Azure AD (Azure AD Hybrid Join)

L’article ne traite pas de la mise en œuvre pour des périphériques équipés avec des systèmes d’exploitation inférieurs à Windows 10 (Ex : Windows 7 ou Windows 8.1). Dans ce cas, vous devez suivre des actions supplémentaires.

La première étape consiste à configurer le Service Connection Point (SCP) sur votre forêt. Ce dernier est utilisé par les machines pour découvrir les informations sur le tenant Azure Active Directory. Ces informations sont nécessaires pour l’enregistrement et sont présentes dans la partition de configuration. Vous pouvez utiliser ADSIEdit pour vérifier si le conteneur est présent dans Configuration – Services – Device Registration Configuration.

Note : La création du SCP est faite automatiquement lors de l’installation d’Azure AD Connect en mode Express avec un compte enterprise admin.

Si ce n’est pas le cas, vous devez préparer la forêt Active Directory en procédant à l’extension du schéma nécessaire.

Sur la machine où vous avez installé Azure AD Connect, vous devez installer la fonctionnalité Remote Server Administration Tools for AD DS. Vous pouvez le faire via PowerShell: Add-WindowsFeature RSAT-AD-Tools.

Validez ensuite que le module PowerShell Azure Active Directory est installé. Dans le cas contraire, vous pouvez le télécharger et l’installer.

Identifiez ensuite le compte utilisé pour exécuter Azure AD Connect en ouvrant la console des services sur le serveur. Cherchez le service Microsoft Azure AD Sync :

L’étape qui suit procède à l’extension de schéma, suivez votre procédure interne pour cette action. Lancez PowerShell en tant qu’enterprise admin et exécutez la commande suivante :

Import-Module 'C:\Program Files\Microsoft Azure Active Directory Connect\AdPrep\AdSyncPrep.psm1'

Initialize-ADSyncDomainJoinedComputerSync  -AdConnectorAccount <NOM DU COMPTE UTILISATEUR QUI EXECUTE LE SERVICE AAD CONNECT>

Spécifiez un compte administrateur global du tenant.

Note : L’opération doit être réalisée sur toutes les forêts que vous pouvez procéder.

Une fois la commande exécutée, vous pouvez valider la création du conteneur Device Registration Condiguration dans la partition de configuration via ADSIEdit ainsi que les permissions nécessaires au compte qui exécute Azure AD Connect :

Vous devez valider que les conteneurs contenant les enregistrements des machines jointes à Active Directory qui s’enregistreront à Azure Active Directory, sont synchronisés par Azure AD Connect. Ceci permet d’assurer un enregistrement optimal mais aussi la gestion du cycle de vie des enregistrements. Pour cela, vous devez lancer l’assistant Microsoft Azure Active Directory Connect.

L’étape suivante ne concerne que les environnements fédérés avec un outil tels qu’Active Directory Federation Services (AD DS). Vous devez créer les émissions de revendications ou Claims. Ceci permet aux périphériques de s’authentifier pour obtenir un token d’accès pour s’enregistrer sur le service Azure Active Directory Device Registration Service (Azure DRS).

Avec AD FS, vous devez valider que les Endpoints adfs/services/trust/13/windowstransport ou adfs/services/trust/2005/windowstransport sont activés.

Voici un script à exécuter pour procéder à la création des règles de transformation d’émission AD FS :

$multipleVerifiedDomainNames = $false
$immutableIDAlreadyIssuedforUsers = $false
$oneOfVerifiedDomainNames = 'example.com'   # Replace example.com with one of your verified domains

$rule1 = '@RuleName = "Issue account type for domain-joined computers"
c:[
    Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid",
    Value =~ "-515$",
    Issuer =~ "^(AD AUTHORITY|SELF AUTHORITY|LOCAL AUTHORITY)$"
]
=> issue(
    Type = "http://schemas.microsoft.com/ws/2012/01/accounttype",
    Value = "DJ"
);'

$rule2 = '@RuleName = "Issue object GUID for domain-joined computers"
c1:[
    Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid",
    Value =~ "-515$",
    Issuer =~ "^(AD AUTHORITY|SELF AUTHORITY|LOCAL AUTHORITY)$"
]
&&
c2:[
    Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname",
    Issuer =~ "^(AD AUTHORITY|SELF AUTHORITY|LOCAL AUTHORITY)$"
]
=> issue(
    store = "Active Directory",
    types = ("http://schemas.microsoft.com/identity/claims/onpremobjectguid"),
    query = ";objectguid;{0}",
    param = c2.Value
);'

$rule3 = '@RuleName = "Issue objectSID for domain-joined computers"
c1:[
    Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid",
    Value =~ "-515$",
    Issuer =~ "^(AD AUTHORITY|SELF AUTHORITY|LOCAL AUTHORITY)$"
]
&&
c2:[
    Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid",
    Issuer =~ "^(AD AUTHORITY|SELF AUTHORITY|LOCAL AUTHORITY)$"
]
=> issue(claim = c2);'

$rule4 = ''
if ($multipleVerifiedDomainNames -eq $true) {
$rule4 = '@RuleName = "Issue account type with the value User when it is not a computer"
NOT EXISTS(
[
    Type == "http://schemas.microsoft.com/ws/2012/01/accounttype",
    Value == "DJ"
]
)
=> add(
    Type = "http://schemas.microsoft.com/ws/2012/01/accounttype",
    Value = "User"
);

@RuleName = "Capture UPN when AccountType is User and issue the IssuerID"
c1:[
    Type == "http://schemas.xmlsoap.org/claims/UPN"
]
&&
c2:[
    Type == "http://schemas.microsoft.com/ws/2012/01/accounttype",
    Value == "User"
]
=> issue(
    Type = "http://schemas.microsoft.com/ws/2008/06/identity/claims/issuerid",
    Value = regexreplace(
    c1.Value,
    ".+@(?<domain>.+)",
    "http://${domain}/adfs/services/trust/"
    )
);

@RuleName = "Issue issuerID for domain-joined computers"
c:[
    Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid",
    Value =~ "-515$",
    Issuer =~ "^(AD AUTHORITY|SELF AUTHORITY|LOCAL AUTHORITY)$"
]
=> issue(
    Type = "http://schemas.microsoft.com/ws/2008/06/identity/claims/issuerid",
    Value = "http://' + $oneOfVerifiedDomainNames + '/adfs/services/trust/"
);'
}

$rule5 = ''
if ($immutableIDAlreadyIssuedforUsers -eq $true) {
$rule5 = '@RuleName = "Issue ImmutableID for computers"
c1:[
    Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/groupsid",
    Value =~ "-515$",
    Issuer =~ "^(AD AUTHORITY|SELF AUTHORITY|LOCAL AUTHORITY)$"
]
&&
c2:[
    Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname",
    Issuer =~ "^(AD AUTHORITY|SELF AUTHORITY|LOCAL AUTHORITY)$"
]
=> issue(
    store = "Active Directory",
    types = ("http://schemas.microsoft.com/LiveID/Federation/2008/05/ImmutableID"),
    query = ";objectguid;{0}",
    param = c2.Value
);'
}

$existingRules = (Get-ADFSRelyingPartyTrust -Identifier urn:federation:MicrosoftOnline).IssuanceTransformRules

$updatedRules = $existingRules + $rule1 + $rule2 + $rule3 + $rule4 + $rule5

$crSet = New-ADFSClaimRuleSet -ClaimRule $updatedRules

Set-AdfsRelyingPartyTrust -TargetIdentifier urn:federation:MicrosoftOnline -IssuanceTransformRules $crSet.ClaimRulesString

Note : La création des règles de transformation d’émission est faite automatiquement lors de l’installation d’Azure AD Connect en mode Express ou Custom.

Une fois ces opérations réalisées, les périphériques joints au domaine peuvent s’enregistrer à Azure Active Directory. Les comportements suivants sont observés :

• Pour Windows 10 1607 (Anniversary Update) ou plus, l’enregistrement s’effectue automatiquement lorsque le périphérique démarre ou lorsqu’un utilisateur se connecte.
• Les périphériques Windows 10 1511 joigne automatiquement si la stratégie de groupe (GPO) ou la stratégie du client ConfigMgr est configurée.
• Pour les clients inférieurs à Windows 10, vous devez déployer le package dédié.

Pour plus d’informations, je vous invite à lire : How to configure hybrid Azure Active Directory joined devices.

La dernière étape consiste à inciter les machines à s’enregistrer. Ceci peut se faire par GPO, System Center Configuration Manager ou manuellement.

Vous pouvez créer la GPO qui permet de forcer l’enregistrement. Pour rappel avec Windows 10 1607, l’opération a lieu automatiquement.

Vous devrez peut-être intégrer les ADMX de Windows 10 dans votre store afin de pouvoir éditer ce nouveau paramètre de GPO.

Ouvrez une GPO existante ou procédez à la création d’un GPO. Naviguez ensuite dans Computer Configuration > Policies > Administrative Templates > Windows Components > Device Registration. Passez le paramètre Register domain joined computers as devices à Enabled.

Avec System Center Configuration Manager, créez ou ouvrez une stratégie cliente existante. Naviguez dans Cloud Services et validez que le paramètre Automatically register new Windows 10 domain joined devices with Azure Active Directory est à Yes. Déployez la stratégie sur une collection comprenant vos machines Windows 10 si ce n’est pas déjà fait.

Vous pouvez aussi joindre manuellement une machine en utilisant la commande dsregcmd /join. Cette dernière doit être exécutée en tant qu’administrateur.

Cette même commande permet aussi de consulter d’enregistrement d’une machine : dsregcmd /status

Gestion du cycle de vie des enregistrements

Une fois que vous avez activé la création des enregistrements dans les deux annuaires, la question du cycle de vie se pose ! Et bien entendu la réponse se situe au niveau d’Azure AD Connect. Il est ensuite nécessaire de savoir quelle source est maintenue à jour ? Azure Active Directory ou Active Directory ?

Lorsque les enregistrements Azure Active Directory est réécrit dans le conteneur RegisteredDevices dans Active Directory, l’identifiant est utilisé comme nom. Vous pouvez obtenir plus de détails en ouvrant la liste des attributs :

• msDS-DeviceID correspond à l’identifiant unique dans Azure Active Directory. Ce dernier est aussi présent dans le cn.
• displayName contient le véritable nom de la ressource.
• msDS-DeviceOSType correspond au type de système d’exploitation (Windows, iOS, etc.)
• msDS-DeviceOSVersion correspond à la version du système d’exploitation.
• msDS-IsCompliant comprend l’état de conformité de l’enregistrement dans Azure Active Directory.
• msDS-IsEnabled comprend l’état de l’enregistrement dans Azure Active Directory.
• msDS-IsManaged comprend l’état de gestion (MDM) du périphérique dans Azure Active Directory.

On retrouve ces éléments dans le portail Azure Active Directory au niveau de la vue du périphérique :

Il est notamment possible de désactiver ou supprimer l’enregistrement. Ces actions lorsqu’elles sont réalisées sont répercutées dans l’annuaire interne par Azure AD Connect :

Il en est bien entendu de même pour les machines jointes au domaine Active Directory qui se sont enregistrées dans Azure Active Directory :

 Il est donc possible de réaliser ces opérations des deux côtés pour qu’elles se répercutent sur l’autre extrémité.

Dépannage

On retrouve différents moyens de dépanner les problèmes liés à l’hybridation :

• Sur les machines concernées, vous retrouvez des fichiers de journalisation avec notamment :
  • Applications and Services Logs – Microsoft – Windows – AAD
  • Applications and Services Logs – Microsoft – Windows – User Device Registration
• Sur le composant Azure AD Connect, vous retrouvez :
  • Windows – Application avec la source Directory Synchronization
• Sur les différents composants Azure AD Connect et Active Directory Federation Services, vous retrouvez :
  • Applications and Services Logs - AD FS

Microsoft propose une série de webcasts à la demande sur SQL Server 2017 sur Linux :

• SQL Server 2017 on Linux- #1 in price and performance—with massive scale
• SQL Server 2017 on Linux, Providing Industry leading security
• SQL Server 2017 on Linux, In-memory technologies

S’enregistrer à l’un des webcasts

Microsoft a mis à jour (v4.25) le célèbre outil Bginfo de SysInternals. Cette version corrige des régressions introduites dans les versions 4.23 et 4.24.

Télécharger Bginfo v4.25

A l’occasion du salon Bett sur le thème de l’éducation, Microsoft a annoncé des nouveautés pour sa suite de produits et services.

Général

• Microsoft commence par annoncer de nouveaux matériels à des prix très accessibles.
• Minecraft Education Edition se voit rafraichi avec une mise à jour Chimie.

Office 365

• Les outils Microsoft Learning améliorent la lecture, l’écriture et la compression des étudiants. On retrouve notamment
  • la capacité de dicter via la voix dans Word, Word Online, PowerPoint, Outlook Desktop, OneNote Windows 10, et OneNote Online
  • La lecture à haute voix permet de lire le contenu d’un email en surlignant chaque mot de manière synchronisée avec Outlook Desktop.
  • la lecture immersive dans Word for Mac, iPhone, Outlook Desktop, OneNote iPad, et OneNote Mac.
• OneNote Class inclut maintenant l’intégration des notes et assignations pour les élèves de Grande Bretagne.
• OneNote intègre maintenant une capacité permettant de verrouiller les pages en lecture seule.
• Teams est disponible sur iOS et Android pour les professeurs et les étudiants.
• PowerPoint permet aux professeurs d’enregistrer des leçons en incluant les diapositives, l’écriture interactive, la vidéo, la narration. Le professeur peut ensuite publier directement dans la classe Teams. Le streaming ajoute automatiquement els sous-titres à la vidéo.

Plus d’informations sur : https://blogs.office.com/en-us/2018/01/22/office-365-education-delivers-the-next-wave-of-innovation-for-inclusive-and-collaborative-learning/

Microsoft Intune for Education

L’an dernier, Microsoft annonçait une version spécifique de Microsoft Intune pour l’Education. Cette année, Microsoft continue son investissement avec :

• La simplification de la délégation avec des administrateurs supplémentaires (au niveau de l’école, de la ville, etc.)
• L’ajout de nouveaux paramétrages de configuration pour Windows 10 (profils Wi-Fi, Redéploiement automatique de Windows, gestion de l’énergie)
• Des éléments sur les périphériques et utilisateurs gérés (par exemple : l’état du déploiement, les journaux d’audit, les rapports Windows Defender, etc.)

Plus d’informations sur : https://cloudblogs.microsoft.com/enterprisemobility/2018/01/22/new-updates-to-intune-for-education-simplifies-delegation-adds-windows-controls-and-improves-insights/

Source : https://blogs.windows.com/windowsexperience/2018/01/22/microsoft-education-unveils-new-windows-10-devices-starting-at-189-office-365-tools-for-personalized-learning-and-curricula-to-ignite-a-passion-for-stem/

Microsoft s’est associé avec Saaswedo, une entreprise française qui fournit une solution de gestion des dépenses télécom (TEM). C’est une problématique commune à toutes les entreprises : Comment gérer les flottes de forfait et éviter les surprises lors de la facturation ? La solution Datalert de Saaswedo répond à ce besoin en collectant la consommation de données en fonction des emplacements géographique du périphérique. Cette dernière s’intègre à Microsoft Intune pour éventuellement bloquer la consommation de données en fonction de stratégie. La solution vient en sus de Microsoft Intune sous la forme d’un abonnement par périphérique par mois. Elle a notamment été choisie par Gartner comme 2017 Gartner Cool Vendor in Mobile & Wireless Analytic.

Saaswedo et sa solution Datalert! offre les services suivants :

• Supervision des connexions (WiFi, 3G/4G, etc.) et données mobiles
  • Analyser les coûts d’itinérance par zone géographique
  • Afficher l’état de la consommation de données à l’échelle de l’entreprise
  • Envoi automatique d’alertes et de notifications personnalisées.
• Gestion des connexions et de l’itinérance
  • Définition des limites de consommation quotidienne, hebdomadaire et mensuelle des données par utilisateur ou par groupe
  • Blocage de l’itinérance/connexion en fonction des limites définies

Note : Il est nécessaire de ne pas confondre Datalert! de Saaswedo et la solution DatAlert de Varonis. Cette dernière est une solution de sécurité sur les données entrantes dans l’entreprise.

Aujourd’hui la solution est disponible pour les périphériques iOS et Android.

Le but de cette série d’articles est de faire un tour d’horizon de l’intégration entre Microsoft Intune et Datalert avec les phases de mise en œuvre et d’exploitation :

• Datalert! : Aperçu de la solution de gestion des dépenses Telecom (TEM) (configurations préliminaires du tenant et déploiement de l’application)
• Datalert! : Configuration de la solution de gestion des dépenses Telecom (TEM)
• Datalert! : Enregistrement des périphériques iOS & Android et utilisation du service

Cette partie de la série se concentre sur l’expérience utilisateur lors de l’enregistrement et l’utilisation du service.

Avant de démarrer, vous devez disposer d’un abonnement Microsoft Intune. A date d’écriture de cet article (Décembre 2017), Datalert s’intègre uniquement à une configuration Microsoft Intune en mode autonome.

Enregistrement sur iOS et Android

Dans l’article précédent, nous avons déployé l’application DatAlert! sur les périphériques iOS et Android. Cette dernière doit donc apparaître sur le périphérique :

Note : Ceci requiert bien entendu que le périphérique soit enregistré dans la solution d’administration.

L’utilisateur peut donc lancer l’application pour procéder à l’enregistrement. Un écran de bienvenue, explique l’intérêt de l’application et invite l’utilisateur à configurer le service. Deux options d’enregistrement sont proposées :

• Via le numéro de téléphone. Vous devez renseigner le numéro de téléphone. Un message vous sera envoyé avec un code à utiliser pour confirmer l’enregistrement.
• Via le compte Azure Active Directory de l’utilisateur auquel la licence Microsoft Intune (ou EMS) est associée. Cette méthode de connexion requiert l’application Microsoft Authenticator. L’utilisateur doit au préalable avoir ajouté son compte Azure Active Directory. Si cela n’a pas été fait, l’application est lancée pour qu’il effectue l’opération lui-même.

Quelle que soit la méthode, l’application est ensuite configurée. Vous pouvez cliquer sur Terminer. Vous arrivez ensuite sur l’écran principal. Une notification informe l’utilisateur qu’il peut être notifier et que les données consommées peuvent être comptabilisées. Saaswedo précise que la puce GPS n’est pas utilisée. L’utilisateur est ensuite invité à valider l’accès aux données de localisation.

Expérience Utilisateur de l’application

L’application permet à l’utilisateur de suivre sa consommation de données selon trois espaces : Wifi, 3G/4G et Roaming. Il peut filtrer les données sur la journée, par semaine ou par mois.

Dans la partie Roaming, on retrouve deux types de vue permettant éventuellement d’obtenir une vision globale de toutes les zones ou de focaliser sur une zone en particulier :

Outre les politiques définies par l’administrateur, l’utilisateur peut configurer lui-même des alertes sur les différents compteurs (Wifi, 3G/4G, Roaming) :

L’utilisateur peut recevoir des notifications en Push pour l’informer de différents éléments comme la mise à jour de son forfait par l’administrateur, la nécessité d’ouvrir l’application pour permettre le fonctionnement optimal du service, etc.

Utilisation du service au quotidien par l’administrateur

Le point d’entrée de l’administrateur est le tableau de bord du portail Datalert!. Il retrouve sur cet espace des éléments comme :

• Le nombre de lignes non enregistrées
• Le nombre de lignes muettes et qui n’ont donc pas communiquée pendant une période importante
• Le nombre de ligne en dépassement.
• Le coût total de l’itinérance pour la période en cours.
• Une carte proposant les informations sur l’usage en roaming, en zone Domestique ou Domestique étendu, en Wifi ou le nombre de lignes.
• Un graphe avec la consommation (itinérance, domestique, domestique étendu, Wifi) par jour. Vous pouvez cliquer sur les valeurs qui vous intéressent afin d’obtenir la liste des lignes concernées.

• Des diagrammes circulaires par forfait offrant une vue de la consommation par zone. Ce dernier permet de filtrer par opérateur et par forfait. Vous pouvez cliquer sur les valeurs qui vous intéressent afin d’obtenir la liste des lignes concernées.

• La liste de toutes les lignes en itinérance avec la consommation totale et la possibilité d’envoyer un message ou de désactiver la donnée en itinérance ou en usage domestique. Depuis ce même panneau, vous pouvez lancer des actions plus globales sur chacune des lignes.

Note : vous pouvez changer l’intervalle du tableau de bord en haut à gauche pour avoir les informations sur la journée, la semaine, le mois, les 30 derniers jours (par défaut) ou un intervalle personnalisé.

L’espace Lignes affiche l’ensemble des lignes importées ou enregistrées dans le service. On retrouve pour chaque ligne :

• Le nom/prénom de l’utilisateur
• Le numéro de téléphone. Il est notamment possible de cliquer sur le numéro pour lancer l’application associée à cette action et éventuellement joindre l’utilisateur.
• Le système d’exploitation (Android ou iOS)
• L’opérateur et le pays
• Le forfait
• La période d’étalement du forfait
• La consommation totale en itinérance
• La consommation totale Domestique
• Le nombre d’alertes générées et la stratégie appliquée
• La date de dernière connexion
• Les tags d’identification associés à la ligne : Ces derniers permettent de filtrer selon vos besoins (par service, fonction, etc.)

La partie haute permet d’afficher en lieu et place de la consommation : Les coûts ou le pourcentage de consommation.

Une fonction permet la recherche par utilisateur, numéro de téléphone ou tag. La liste est filtrable selon certaines caractéristiques de lignes :

• En dépassement
• En itinérance
• Non enregistrées
• Sans forfait,
• Muettes

Note : Il est possible d’exporter les informations.

Lorsque, vous sélectionnez une ou plusieurs lignes, un menu est disponible pour permettre de choisir une action à appliquer :

• Définir le forfait des lignes
• Dissocier la politique télécom
• Envoyer un message parmi ceux définit dans les réglages.
• Gérer les étiquettes/tags
• Envoyer un lien d’enregistrement (email ou SMS)
• Révoquer la ligne
• Supprimer la ligne
• Activer ou désactiver l’itinérance
• Activer ou désactiver l’usage de la donnée
• Synchroniser le forfait lorsque vous avez opéré un changement sur ce dernier.

En cliquant sur une ligne, vous pouvez obtenir une vue plus détaillée avec des diagrammes plus précis de la consommation Wifi, domestique ou en itinérance. On retrouve aussi un tableau de consommation, une carte du monde permettant de voir la répartition et le coût total de l’itinérance.

Pour les périphériques Android uniquement, une vue permet de voir la répartition de la consommation de données par application. Celle-ci peut être affichée en cliquant sur la flèche rouge sur la partie gauche de l’écran.

Suivi de la consommation par Applications

Outre les fonctions vues précédemment, Datalert! a ajouté récemment une fonctionnalité permettant de suivre la consommation de données par application. Cette fonctionnalité est disponible pour les systèmes Android uniquement. En effet, la plateforme iOS bride ces usages.

Vous pouvez accéder au tableau de bord via le menu Apps. Le tableau d’accueil comprend :

• Un diagramme circule de répartition des applications selon un nombre défini.
• Le nombre total d’applications détectées
• La répartition par plateformes
• La répartition entre applications dites professionnelles et personnelles
• Le top des applications avec le volume de données générées et le pourcentage associé. Une barre de recherche permet de se focaliser sur une application spécifique.

Le tableau de bord peut être lorsque les données ont été générées en itinérance, Domestique, Domestique étendu et Wifi.

Le bouton orné d’un personnage à gauche permet de passer sur une vue par ligne affichant :

• Les données générées en itinérance, Domestique, Domestique étendue, Wifi
• Le nombre total d’applications
• Le top 3 des applications et la consommation associée

Le bouton orné d’une étoile permet de catégoriser les applications entre usage personnel et professionnel :

Conclusion

Vous avez pu voir une solution de gestion des dépenses télécom (TEM) complète qui ne cesse de s’étoffer. Son intégration avec Microsoft Intune rend la solution de gestion de périphériques mobiles (MDM) plus complète pour les entreprises qui veulent pouvoir correctement gérer les coûts associés aux abonnements téléphoniques.

Microsoft vient de mettre à disposition la Technical Preview 1801 (5.0.8611.1000) de System Center Configuration Manager. Pour rappel, ConfigMgr a subi une refonte de sa structure pour permettre des mises à jour aisées de la même façon que l’on peut le voir avec Windows 10. Si vous souhaitez installer cette Technical Preview, vous devez installer la Technical Preview 1711 puis utiliser la fonctionnalité Updates and Servicing (nom de code Easy Setup).

Note :  La mise à niveau échoue si vous avez un serveur de site en mode passif. Ceci peut être le cas si vous utilisez la Technical Preview 1706, 1707, 1708, 1709, 1710, 1711 ou 1712. Vous devez alors désinstaller le serveur de site en mode passif.

System Center Configuration Manager TP 1801 comprend les nouveautés suivantes :

Administration

• L’administrateur peut créer des déploiements phasés (Phased deployment) afin d’automatiser et coordonner le séquencement du déploiement d’un logiciel sans avoir à créer plusieurs déploiements. Ceci permet de choisir plusieurs collections et des seuils de validation (pourcentage de succès, nombre de clients installés) pour passer à la collection suivante. Notez que pour l'instant cette fonctionnalité n'a pas d'impact sur les clients ; elle est dans cette version uniquement esthétique.
• On retrouve du Reporting sur le Co-Management depuis la partie Monitoring – Upgrade Readiness – Co-Management. On retrouve notamment le pourcentage de périphériques dans un mode co-géré, la distribution par système d’exploitation, l’état de co-gestion (Azure-AD, Hybrid Azure AD, en échec), la répartition des périphériques par fonctionnalité (stratégies de conformité, Windows Update for Business, etc.).
• Il est maintenant possible de réassigner un point de distribution vers un autre site primaire sans avoir à redistribuer le contenu. Ceci ne fonctionne uniquement si le système de site ne comprend le rôle point de distribution.
• Amélioration de l’inventaire matériel pour que les nouvelles classes ajoutées puissent supporter des propriétés de type chaine de caractères avec une longueur de plus de 255 caractères. Ceci ne s’applique pas aux clés.
• La partie Software Center des paramétrages du client affiche maintenant un espace de prévisualisation du logo et/ou du nom de l’organisation.
• Un nouveau paramétrage du client permet de cacher les applications non approuvées du Software Center. Ainsi, les applications disponibles pour l’utilisateur mais qui requièrent une approbation sont cachées à l’utilisateur.
• Arrivé il y a quelques Previews, la fonctionnalité de création et exécution des scripts PowerShell depuis la console ConfigMgr directement sur des collections se voit améliorée. Il est maintenant possible d’importer des scripts PowerShell signées. Notez qu’il n’est pas possible de copier/coller ce genre de script.

Gestion des paramétrages

• Les stratégies Windows Defender Application Guard proposent deux nouveaux paramétrages d’interaction de l’hôte :
  • Websites can be given access to the host’s virtual graphics processor.
  • Files downloaded inside the container can be persisted on the host.

Gestion des mises à jour logicielles

• Grace aux retours sur UserVoice, il est maintenant possible de planifier des règles de déploiement automatique (ADR) décalée du jour de base. Par exemple, le but est de décaler l’évaluation deux jours après le deuxième mardi du mois.

Plus d’informations sur : https://docs.microsoft.com/en-us/sccm/core/get-started/capabilities-in-technical-preview-1801

Voici le récapitulatif des annonces faites par Microsoft concernant sa plateforme Microsoft Azure.

Parmi les annonces, on retrouve notamment :

General

• Preview des budgets au niveau de l’abonnement via les APIs ARM. L'API budgets vous permet de définir un budget pour un abonnement, ainsi que plusieurs seuils de notification. À titre d'exemple, vous pourriez avoir un abonnement dans lequel vous établissez un budget de 1 000 $ et des notifications de configuration à 25 %, 50 %, 75 % et 100 %. Ces avis seraient déclenchés lorsque vos coûts d'utilisation excèdent 250 $, 500 $, 750 $ et 1 000 $ respectivement.
• Microsoft fait l’acquisition d’Avere Systems pour accélérer l’innovation du traitement haute performance pour les industries média et divertissement. Avere Systems fournit une solution combinant des technologies de caching et de système de fichiers pour améliorer les problématiques de performance.

Azure MarketPlace

• 7 nouvelles offres apparaissent dans l’Azure MarketPlace avec notamment : Heimdall Data SQL Optimization Platform, Luminate Security Connector, Renku Language Detection Engine, BeeGFS Free - Community Support, Elastic Stack on Kubernetes, Quartus® Pro and Intel® FPGA SDK For OpenCL, Wordpress LEMP Max Performance.

Azure Network

• Disponibilité Générale des règles augmentées pour les Network Security Groups. Les Augmented rules simplifient la définition de la sécurité pour les réseaux virtuels, vous permettant de définir des stratégies de sécurité réseau plus vastes et complexes, avec moins de règles. Vous pouvez combiner plusieurs ports, plusieurs adresses IP explicites, des étiquettes de service et des groupes de sécurité d'application en une seule règle de sécurité facile à comprendre.

Azure Security Center

• Public Preview de Security Center adaptive application controls afin d’aider à bloquer des logiciels malveillants et des applications potentiellement non souhaitées en appliquant des listes blanches adaptées au contexte via du Machine Learning.
• Azure Security Center découvre maintenant automatiquement les instances Microsoft Web Application Firewall qui ne sont pas provisionnées avec ASC. Cette intrégration permet d’aider à sécuriser des applications contre des vulnérabilités (SQL Injection, DDoS, cross-site scripting, etc.).
• Preview du support des évaluations de sécurité personnalisées pour Azure Security Center. Ceci permet de personnaliser les règles par défaut ou de créer des règles additionnelles qui correspondent à vos configurations Windows souhaitées.

IaaS

• Disponibilité Générale d’Accelerated Networking pour Windows et Linux. Cette fonctionnalité permet de fournir jusqu’à 30Gbps pour le réseau. AN fournit une latence réseau ultra-faible et constante grâce au matériel programmable d'Azure et à des technologies telles que SR-IOV. En déplaçant une grande partie de la pile réseau définie par le logiciel Azure hors des CPU et dans des SmartNIC, les cycles de calcul sont récupérés par les applications, ce qui allège la charge sur le VM, diminue la gigue et réduit les incohérences de latence. Les séries prises en charge comprennent D/DSv2, D/DSv3, E/ESv3, F/FS, FSv2 et Ms/Mms.

Azure Stack

• Extension de Microsoft Azure IP Advantage à Azure Stack afin de donner les mécanismes de protection d’IP que les Datacenters Microsoft Azure. Le but est de protéger les environnements des IPs non familières via le portefeuille défensif de 10 000 brevets.

Azure Information Protection

• Public Preview de l’intégration entre Azure Information Protection et Cloud App Security permet d’appliquer automatiquement de scanner les fichiers récupérées ou uploadées et d’y appliquer automatiquement une classification pour la protection.
• Mise à jour de la documentation avec :
  • Des exemples sur les capacités fournies par Office 365 Message Encryption et l’utilisation avec les labels AIP.
  • La mise à jour des recommandations sur l’utilisation d’un coffre-fort à clé dédié.
  • Mise à jour à propos de l’affichage de la barre d’information de protection dans les applications Office pour spécifier qu’elle est en Preview et qu’elle nécessite la version Preview du client.
  • Mise à jour pour spécifier le retrait du portail classique et ajout d’une note pour les clients Office 365 US Government afin de spécifier qu’ils ne peuvent utiliser le portail Azure et qu’ils doivent se rabattre sur PowerShell pour gérer les modèles.
  • Suppression de Windows Server 2008 et Windows Vista comme systèmes d’exploitation supportés pour le client RMS. Ceci comprend le non support d’AD RMS.
  • Mise à jour des informations de cycle de vie du support pour spécifier que chaque version du client AIP est supporté pour 6 mois après la publication d’une nouvelle version.
  • Nouveau prérequis pour les machines Windows 7 afin de permettre la classification et la protection de fichiers PDF : Visual C++ Redistributable for Visual Studio 2015 (32-bit version)

Operations Management Suite

Azure Log Analytics

• Nouvelle agent Linux en version 1.4.3-147 avec la correction de bugs et l'apport d'une nouvelle version OMI et SCX.
• Intégration entre Azure HDInsight et Azure Log Analytics pour obtenir les alertes, les éléments de supervision et dépanner vos charges de travail Azure HDInsight..

Azure Backup

• Azure Backup supporte maintenant le chiffrement des machines virtuelles Azure via Bitlocker Encryption Key (BEK) pour les disques gérés ou non. Il est possible de mixer le scénario Key Encryption Key et BitLocker Encryption Key.

Azure Monitor

• Preview d’une nouvelle expérience pour la gestion des alertes dans Azure Monitor. On retrouve notamment une vue consolidée des alertes, une vue consolidée pour voir les règles d’alertes, et une expérience de personnalisation unique et simplifiée.

Azure SQL

• Le niveau de compatibilité 140 est celui par défaut pour Azure SQL Database. 539 903 bases de données Azure SQL Database utilisent déjà ce niveau de compatibilité.
• Nouvelle version de SQL Operations Studio. Pour rappel ces outils sont disponibles depuis Windows, macOS, et Linux pour permettre de gérer SQL Server, Azure SQL DB, et Azure SQL Data Warehouse. Cette version corrige des problèmes et permet de sauvegarder les connexions, de changer la couleur des onglets de l’éditeur SQL, et activer la fonctionnalité qui réouvre les fichiers non sauvegardés.

Azure Analysis Services

• Azure Analysis Services est disponible dans les DataCenters East US, West US 2, USGov-Arizona et USGov-Texas.
• Publication de l’API REST pour Azure Analysis Services. Cette dernière permet d'effectuer des opérations de rafraîchissement de données de manière asynchrone. Il ne nécessite donc pas de connexions HTTP de longue durée de la part des applications clientes.

Azure Data Factory

• Public Preview des outils visuels pour Azure Data Factory v2. L'objectif principal des outils visuels d’ADF est de vous permettre d'être productif avec ADF en mettant en place des pipelines rapidement sans avoir besoin d'écrire une seule ligne de code. Vous pouvez utiliser une interface simple et intuitive sans code pour glisser-déposer des activités sur une toile de pipeline, effectuer des tests, déboguer de manière itérative, déployer et surveiller les exécutions de votre pipeline. On retrouve le support de toutes les activités de flux de contrôle : HDInsight Hive, HDInsight Pig, HDInsight Map Reduce, HDI Streaming, HDI Spark, U-SQL, Stored Procedure, Web, For Each, Get Metadata, Look up, Execute Pipelin, HDI (on-demand, BYOC), ADLA, Azure Batch.
• De nouveaux connecteurs dans Azure Data Factory v2 dont notamment : Amazon Marketplace Web Service (Beta), Azure Database for PostgreSQL, Concur (Beta), Couchbase (Beta), Drill (Beta), Google BigQuery (Beta), Greenplum (Beta), HBase, Hive, HubSpot (Beta), Impala (Beta), Jira (Beta), Magento (Beta), MariaDB, Marketo (Beta), Oracle Eloqua (Beta), Paypal (Beta), Phoenix, Presto (Beta), QuickBooks (Beta), SAP Cloud for Customer (C4C), ServiceNow (Beta), Shopify (Beta), Spark, Square (Beta), Xero (Beta), et Zoho (Beta).
• .

HDInsight

• Baisse de jusqu’à 53% du prix d’Azure HDInsight.
• Baisse de jusqu’à 80% du prix pour R Server pour Azure HDInsight. Ceci réduit le coût à 0.016 par cœur par heure.
• Disponibilité Générale d’Apache Kafka sur Azure HDInsight permettant de construire des solutions d'analyse en temps réel de type entreprise, open-source, telles que l'IoT, la détection des fraudes, l'analyse de flux de clics, l'analyse sociale et plus encore avec le SLA Azure HDInsight à 99,9%.
• Public Preview de l’intégration avec Power BI direct query permettant de créer des rapports dynamiques basés sur les données et métriques que vous avez sur vos clusters Interactive Query dans Azure BLOB store ou Azure Data Lake store.

Azure IoT

• Les extensions IoT pour Azure CLI 2.0 sont disponible et permettent d’interagir avec Azure Resource Manager et les management endpoints..

Autres services

• Les outils Azure Data Lake s’intègrent avec VSCode Data Lake Explorer et les comptes Azure.
• Video Indexer supporte la personnalisation pour la reconnaissance de dialogue automatique avec l’intégration de Microsoft Custom Speech Service.
• Publication des outils de développeurs Time Series Insights (TSI).

Brad Anderson (Corporate Vice President, Enterprise Client & Mobility) a publié une nouvelle vidéo pour faire un bilan sur 2017 et introduire 2018. Configuration Manager a dépassé 100 millions de périphériques. C’est le seul service dans cette situation avec Office 365, Azure Active Directory et Windows Defender. Il présente les nouveautés de décembre et ses prédictions pour l’année 2018.

https://channel9.msdn.com/Series/Endpoint-Zone/The-Endpoint-Zone-with-Brad-Anderson-1801?ocid=player

Microsoft a mis à jour son kit permettant de créer un laboratoire de déploiement et de gestion de Windows 10 pour Microsoft 365. Ce Laboratoire vous permet de gérer Windows 10 Enterprise et Office 365 Pro Plus de manière moderne. Il inclut :

• Windows 10 Enterprise, Version 1709 (Fall Creators Update)
• System Center Configuration Manager, version 1702
• Windows Assessment and Deployment Kit for Windows 10, version 1709
• Microsoft Deployment Toolkit (8443)
• Microsoft Application Virtualization 5.1
• Microsoft BitLocker Administration and Monitoring 2.5 SP1
• Windows Server 2016
• Microsoft SQL Server 2014

On retrouve différentes solutions et scénarios prévus comme :

• Windows Analytics Update Compliance
• Gérer Windows 10 avec Configuration Manager
• Gérer Office 365 ProPlus avec Configuration Manager
• Windows Information Protection
• Windows Defender Advanced Threat Protection
• Windows Defender Application Guard
• Windows Defender Exploit Guard
• Windows Hello
• Credential Guard
• Device Encryption (MBAM)
• Device Guard - User Mode Code Integrity
• Remote Access (VPN)
• Windows Analytics Upgrade Readiness
• Desktop Bridges
• Browser Compatibility
• Windows App Certification Kit
• Application Virtualization

Télécharger Microsoft 365 powered device lab kit

Je vous en parlais il y a quelques semaines, un problème touche Windows 10 1709 et la stratégie visant à désactiver les périphériques Direct Memory Access (DMA) lorsque l’ordinateur est verrouillé. En effet la sécurité de cette dernière a été durcie, ce qui n’a pas été sans conséquence sur certains périphériques où BitLocker était activé.

Microsoft vient de confirmer qu’il travaille sur un correctif qui sera proposé au travers de Windows Update. Dans l’immédiat, il est recommandé de désactiver la stratégie « Disable new DMA devices when this computer is locked ».

Source : https://blogs.technet.microsoft.com/secguide/2018/01/18/issue-with-bitlockerdma-setting-in-windows-10-fall-creators-update-v1709/

Microsoft cherche à comprendre si les entreprises utilisent toujours les entités de sécurité locales (utilisateurs ou groupes) sur Windows Server dans des environnements avec Active Directory.

Prenez quelques secondes pour répondre au sondage.

L’équipe ConfigMgr a publié un correctif cumulatif à destination de System Center Configuration Manager 1710. Le correctif s’applique au serveur de site, aux consoles, et aux clients.

Note : les sites secondaires doivent être mis à jour manuellement et une procédure permet de vérifier la mise à jour effective de leurs bases de données.

Parmi les corrections, on retrouve :

Clients

• Les clients qui utilisent Azure Active Directory (Azure AD) pour l'authentification ne communiquent pas correctement avec un Management Point. Ce problème se produit si le point de gestion est distant du serveur du site et configuré en utilisant un compte utilisateur pour la communication SQL.
• Les clients Configuration Manager 1710, ne sont pas mis à niveau sur les systèmes qui exécutent Windows Server 2008 SP2. Le programme d'installation du client, Ccmsetup.exe, se termine de manière inattendue, et une erreur similaire à ce qui suit est enregistrée dans le journal de l'application:

Faulting application ccmsetup.exe, version 5.0.8577.1000, time stamp 0x5a03cc4c, faulting module KERNEL32.dll!K32EnumProcessModules

• Si un client Configuration Manager redémarre pendant le processus de réessaie d'un téléchargement de stratégie de séquence de tâches, cette séquence de tâches ne s'exécute pas automatiquement après le redémarrage. La séquence de tâches peut être retentée manuellement après le redémarrage.

Systèmes de site

• La demande Client Notification Restart est traitée incorrectement par les Management Points distants. Ceci engendre qu'un fichier de notification. bld reste dans le dossier \MP\Outboxes\bggb. box du Management Point distant.
• Les messages d'état relatifs à la mise hors service provenant d'ordinateurs clients cogérés sont mal traités. Les erreurs suivantes sont consignées dans le fichier Statesys.log:

SQL MESSAGE: spProcessStateReport - Error: Message processing encountered a SQL error 547 at record 14 for TopicType 810: "The MERGE statement conflicted with the CHECK constraint "ClientCoManagementState_MachineID_Partition_CK".

• Les messages d'état envoyés par les utilisateurs Azure AD ne peuvent pas être traités. Ceci provoque des erreurs qui ressemblent aux suivantes pour être enregistrées dans le fichier Statesys.log:

"Conversion failed when converting from a character string to uniqueidentifier.", Line 0 in procedure ""

Gestion de contenu et de la distribution de logiciels

• Le temps de bascule configuré pour le contenu n'est pas respecté si les points de distribution ou leur contenu sont inaccessibles. Dans cette situation, les clients basculent plus rapidement que le délai spécifié.
• La re tentative de téléchargement de fichier unique volumineux, tel qu'un fichier de mise à jour Office 365, peut échouer sur un serveur de site avec l'une ou l'autre des erreurs suivantes enregistrées dans le fichier Patchdownload.log:

ERROR: DownloadContentFiles() failed with hr=0x800700b7

ERROR: DownloadContentFiles() failed with hr=0x800362et

• L'Assistant d'installation de l’application Office 365 peut essayer de télécharger du contenu à partir d'un canal incorrect. Ceci provoque des échecs de téléchargement.
• La persistance du contenu dans le paramètre de cache client des propriétés du paquet n'est pas respecté par les clients. Ceci entraîne la suppression du contenu du paquet lorsque le cache client est effacé via l’applet Configuration Manager.

Stratégies d’accès conditionnel et paramétrages

• Les politiques d'accès conditionnel peuvent bloquer l'accès aux applications Office 365 pour les périphériques liés au domaine après la migration vers Intune standalone.

Gestion des mises à jour logicielles

• Le téléchargement des mises à jour express peut échouer sur les clients Windows 10 en raison d'un problème qui affecte les fichiers des dossiers temporaires et des dossiers cache. Dans ce cas, les erreurs qui ressemblent aux suivantes sont enregistrées dans le fichier DeltaDownload.log:

HttpSendResponseEntityBody failed with error 1006.

NO_ERROR == dwRetVal, HRESULT=800703ee

NO_ERROR == dwRetVal, HRESULT=800704cd

HttpSendResponseEntityBody failed with error 1229.

Console d’administration

• La console Configuration Manager peut se terminer inopinément après avoir navigué vers un emplacement de contenu dans l'Assistant d'installation du client Office 365.

Pour installer la mise à jour, rendez-vous dans la partie Updates and Servicing de la console d’administration.

Plus d’informations sur la KB4057517 Update rollup for System Center Configuration Manager current branch, version 1710

Il y a un an, Microsoft annonçait un programme Microsoft Professionnal Degree (MPD) permettant d’obtenir un diplôme calibré sur le curriculum universitaire pour les professionnels de l’informatique. L’initiative est construite sur la plateforme Open edX d’Azure. L’objectif de Microsoft est d’appliquer d’offrir du Learning as-a-Service. Aujourd’hui, Microsoft vient d’ouvrir les inscriptions pour le programme IT Support.

 Microsoft propose déjà plusieurs autres programmes : Data Science, Big Data Engineering, Cloud Administration, DevOps et Front end Web Development.

Plus d’informations :  https://borntolearn.mslearn.net/b/weblog/posts/the-microsoft-professional-program-now-includes-it-support

Microsoft s’est associé avec Saaswedo, une entreprise française qui fournit une solution de gestion des dépenses télécom (TEM). C’est une problématique commune à toutes les entreprises : Comment gérer les flottes de forfait et éviter les surprises lors de la facturation ? La solution Datalert de Saaswedo répond à ce besoin en collectant la consommation de données en fonction des emplacements géographique du périphérique. Cette dernière s’intègre à Microsoft Intune pour éventuellement bloquer la consommation de données en fonction de stratégie. La solution vient en sus de Microsoft Intune sous la forme d’un abonnement par périphérique par mois. Elle a notamment été choisie par Gartner comme 2017 Gartner Cool Vendor in Mobile & Wireless Analytic.

Saaswedo et sa solution Datalert! offre les services suivants :

• Supervision des connexions (WiFi, 3G/4G, etc.) et données mobiles
  • Analyser les coûts d’itinérance par zone géographique
  • Afficher l’état de la consommation de données à l’échelle de l’entreprise
  • Envoi automatique d’alertes et de notifications personnalisées.
• Gestion des connexions et de l’itinérance
  • Définition des limites de consommation quotidienne, hebdomadaire et mensuelle des données par utilisateur ou par groupe
  • Blocage de l’itinérance/connexion en fonction des limites définies

Note : Il est nécessaire de ne pas confondre Datalert! de Saaswedo et la solution DatAlert de Varonis. Cette dernière est une solution de sécurité sur les données entrantes dans l’entreprise.

Aujourd’hui la solution est disponible pour les périphériques iOS et Android.

Le but de cette série d’articles est de faire un tour d’horizon de l’intégration entre Microsoft Intune et Datalert avec les phases de mise en œuvre et d’exploitation :

• Datalert! : Aperçu de la solution de gestion des dépenses Telecom (TEM) (configurations préliminaires du tenant et déploiement de l’application)
• Datalert! : Configuration de la solution de gestion des dépenses Telecom (TEM)
• Datalert! : Enregistrement des périphériques iOS & Android et utilisation du service

Cette partie de la série se concentre sur la configuration du service Datalert! de gestion des dépenses Telecom (TEM).

Avant de démarrer, vous devez disposer d’un abonnement Microsoft Intune. A date d’écriture de cet article (Décembre 2017), Datalert s’intègre uniquement à une configuration Microsoft Intune en mode autonome.

La configuration de la solution de gestion des dépenses Telecom (TEM) Datalert! se fait via le portail qui vous est communiqué lors de la souscription au service.

Configuration du service

Lorsque vous arrivez sur le portail, vous pouvez cliquer sur Réglages. Depuis cet espace, on retrouve différentes configurations possibles que nous aborderons dans ce billet. On retrouve une première partie Personnalisation qui permet d’uploader un logo et de choisir les couleurs du portail.

La partie Comptes permet d’ajouter des comptes qui accéderont au service pour permettre la gestion et la configuration.  Une option permet de spécifier l’utilisation comme Super admin ; c’est-à-dire disposant des droits étendus dans la partie Réglages.

Assistant de configuration initiale

La mise en service offre un assistant de configuration visant à vous aider à peupler votre tenant avec les informations nécessaires à son fonctionnement. On retrouve notamment :

• L’import des lignes qui constituent votre parc de téléphonie
• L’ajout des opérateurs et forfaits de votre flotte
• La définition des zones d’itinérance (roaming) pour chacun des forfaits
• Les politiques télécom qui sont appliquées aux alertes 3G/4G et roaming
• L’association des lignes
• La communication envoyée à ces lignes pour le lancement du service.

D’un point de vue pratique, il est recommandé d’importer toutes les lignes associées à un seul opérateur à la fois. Répétez l’assistant pour tous les opérateurs que vous utilisez et leurs lignes associées.

Vous pouvez accéder à cet assistant lors de l’ouverture du service ou via l’espace Réglages où vous pouvez cliquer sur Déploiement.

La première étape permet d’utiliser une matrice d’import au format CSV pour créer et renseigner les lignes téléphoniques associées aux utilisateurs. La page permet de récupérer un fichier type ainsi qu’un fichier d’exemple. La matrice permet de renseigner les informations suivantes sur l’utilisateur :

• Nom
• Prénom
• Email de l’utilisateur
• Matricule
• Numéro de téléphone
• Tag utilisé pour regrouper les lignes et filtrer dans la console du service
• Si la ligne permet de recevoir des SMS

Une fois rempli, vous pouvez importer le fichier dans l’assistant du service et passez à l’étape de définition de l’opérateur et du forfait. Vous pouvez soit créer un nouveau forfait ou utiliser un opérateur/forfait existant. Cette page permet de choisir le fair use associé au forfait ainsi que le jour de facturation auquel réinitialiser le compteur.

Sur l’écran suivant, vous pouvez définir les différentes zones de roaming du forfait que vous avez créé ainsi que les limites de consommation de données et le coût au-delà du seuil.

Vous pouvez ajouter autant de zones que vous souhaitez et sélectionnez les pays associés. Le service Datalert! vous facilite le regroupement avec la capacité de filtrer sur la base des 7 zones principales : Asie, Europe, Afrique, Amérique du Nord, Amérique du Sud, Océanie, Antarctique. Vous pouvez ensuite choisir les pays.

La page suivante permet de configurer les politiques télécom associées à l’opérateur et au forfait sélectionné. Vous pouvez ainsi spécifier des alertes sur la consommation 3G/4G ou sur l’itinérance. Vous devez aussi définir les comportements : Envoi d’un message, Envoi d’un message au manager, désactivation de la data.

On retrouve en outre la possibilité de configurer des alertes (Email + Push) de manière répétée ou non sur le statut de connexion ne permettant pas la remontée des informations dans les situations suivantes :

• L’application est fermée par l’utilisateur.
• Le mode économie d’énergie ou exécution en arrière-plan est désactivé.
• Le périphérique est éteint ou hors réseau.
• L’application a été supprimée par l’utilisateur.

Enfin, il est possible de définir les options de blocage MDM en cas de dépassement des limites. Cela permet notamment de laisser la possibilité à l’utilisateur de réactiver manuellement les connexions de données. Dans ce cas de figure, vous pourrez choisir d’envoyer un message, d’envoyer un message au manager et de désactiver la donnée en spécifiant éventuellement un intervalle de récurrence de ces actions.

L’écran suivant permet de sélectionner les lignes à laquelle vous souhaitez appliquer la configuration que vous êtes en train de créer.

La dernière étape de configuration permet de communiquer le déploiement aux utilisateurs en envoyant soit un SMS de notification, soit un email d’information.

Enfin, vous retrouvez un résumé de la configuration effectuée.

Ajout d’opérateurs et de forfaits

Si vous souhaitez ajouter des opérateurs et forfaits sans passer par l’assistant, vous pouvez naviguer dans les réglages et dans la partie Forfait/Zones pour accéder aux mêmes capacités permettant d’ajouter des opérateurs, de nouveaux forfaits à un opérateur existant, ou des zones à forfait existant.

Vous pouvez rajouter autant de zones que correspondant aux caractéristiques d’un forfait donné.

Ajout d’une ligne téléphonique

L’ajout de lignes téléphoniques peut se faire indépendamment de l’assistant sur la page principale en naviguant dans la partie Lignes. Un bouton Ajouter ligne est proposé et ouvre une fenêtre permettant d’ajouter des lignes en spécifiant le matricule, le prénom, le nom, le courriel et le numéro de téléphone de l’utilisateur.

Une fois la ligne crée, vous pouvez définir un forfait depuis la partie Choisir une action… - Définir un forfait.

Vous aurez la possibilité de choisir parmi les opérateurs et forfait existants tout en choisissant le jour de début de forfait dans le mois.

Configuration des managers et de notifications

Lorsque vous arrivez sur le portail, vous pouvez cliquer sur Réglages. Depuis cet espace, on retrouve différentes configurations possibles comme l’ajout de Managers et pour notifier sur les alertes d’itinérance ou de dépassement de la consommation.

La partie Notifications permet de configurer les messages de notifications qui seront envoyés aux différentes personnes. Vous pouvez notamment configurer différentes langues pour les types d’alertes :

Ajout de politiques télécom

De la même façon, il est possible de rajouter des stratégies ou politiques télécom indépendamment de l’assistant depuis les Réglages. Les options sont accessibles dans Politique télécom et permettent de rajouter des politiques à des forfaits précédemment créés.

On retrouve un écran similaire à celui de l’assistant permettant de définir les seuils et alertes.

Dans un billet suivant, nous abordons l’usage de la solution au quotidien.

Microsoft vient d’annoncer que la dernière version Windows Insiders de Windows 10 vient d’intégrer la fonctionnalité permettant d’accéder aux fichiers à la demande (On-Demand File Access) apparaissait pour Work Folders. A l’image de son intégration à OneDrive, ceci permet d’éviter l’impact sur la bande passante ou sur l’espace de stockage local.

Ceci permet d’afficher les fichiers dans l’explorateur sans pour autant les télécharger en avance de phase. Lorsque l’utilisateur clique sur le fichier, ce dernier est téléchargé de manière à l’ouvrir.

Plus d’informations sur : https://blogs.technet.microsoft.com/filecab/2018/01/08/work-folders-on-demand-file-access-feature-for-windows-10/

A plusieurs reprises, j’ai eu des échanges qui ont révélé une incompréhension de la fonctionnalité de Pre-Caching de contenu intégrée dans System Center Configuration Manager 1706. Cette fonctionnalité prometteuse permet de pré-télécharger le contenu nécessaire à une séquence de tâches avant que cette dernière soit exécutée (souvent à la demande). Le pré-téléchargement doit filtrer le contenu qui est véritablement nécessaire. Le scénario principal s’adresse aux entreprises qui veulent utiliser des séquences de tâches pour faire la mise à niveau de Windows 10.

Avec les échanges que j’ai eus, je me suis rendu compte qu’il fallait quelques précisions sur le comportement attendu :

• Le Pre-Caching télécharge tout ce qui est référencé dans la séquence de tâches excepté pour les tâches Upgrade Operating System qui sont filtrées en fonction de la langue et de l’architecture sur le système d’exploitation.
• Les conditions spécifiées sur les différentes de la séquence de tâches, ne sont pas évaluées par la fonctionnalité de Pre-Caching. Le client utilise ce qui est spécifié sur le package de mise à niveau (OS Upgrade Package). Par conséquent si vous avez 40 packages de drivers, la fonctionnalité télécharge les 40 packages de drivers.
• Des messages d’état sont renvoyés pour spécifier quel contenu est téléchargé.

Microsoft s’est associé avec Saaswedo, une entreprise française qui fournit une solution de gestion des dépenses télécom (TEM). C’est une problématique commune à toutes les entreprises : Comment gérer les flottes de forfait et éviter les surprises lors de la facturation ? La solution Datalert de Saaswedo répond à ce besoin en collectant la consommation de données en fonction des emplacements géographique du périphérique. Cette dernière s’intègre à Microsoft Intune pour éventuellement bloquer la consommation de données en fonction de stratégie. La solution vient en sus de Microsoft Intune sous la forme d’un abonnement par périphérique par mois. Elle a notamment été choisie par Gartner comme 2017 Gartner Cool Vendor in Mobile & Wireless Analytic.

Saaswedo et sa solution Datalert! offre les services suivants :

• Supervision des connexions (WiFi, 3G/4G, etc.) et données mobiles
  • Analyser les coûts d’itinérance par zone géographique
  • Afficher l’état de la consommation de données à l’échelle de l’entreprise
  • Envoi automatique d’alertes et de notifications personnalisées.
• Gestion des connexions et de l’itinérance
  • Définition des limites de consommation quotidienne, hebdomadaire et mensuelle des données par utilisateur ou par groupe
  • Blocage de l’itinérance/connexion en fonction des limites définies

Note : Il est nécessaire de ne pas confondre Datalert! de Saaswedo et la solution DatAlert de Varonis. Cette dernière est une solution de sécurité sur les données entrantes dans l’entreprise.

Aujourd’hui la solution est disponible pour les périphériques iOS et Android.

Le but de cette série d’articles est de faire un tour d’horizon de l’intégration entre Microsoft Intune et Datalert avec les phases de mise en œuvre et d’exploitation :

• Datalert! : Aperçu de la solution de gestion des dépenses Telecom (TEM) (configurations préliminaires du tenant et déploiement de l’application)
• Datalert! : Configuration de la solution de gestion des dépenses Telecom (TEM)
• Datalert! : Enregistrement des périphériques iOS & Android et utilisation du service

Avant de démarrer, vous devez disposer d’un abonnement Microsoft Intune. A date d’écriture de cet article (Décembre 2017), Datalert s’intègre uniquement à une configuration Microsoft Intune en mode autonome.

Préparation du tenant

Lors l’interconnexion du service Datalert! à Microsoft Intune, vous devez récupérer l’identifiant du tenant Azure Active Directory.

Ce dernier peut être récupéré via le portail Azure en naviguant dans Azure Active Directory – Properties. Vous trouverez l’identifiant dans le champ Directory ID :

Configuration de l’interconnexion Datalert/Microsoft Intune

Vous recevrez un email avec le lien vers le portail du service Datalert!. Connectez-vous avec le compte utilisateur administrateur de la solution et naviguez dans Settings puis MDM configuration.

Sélectionnez Microsoft Intune et renseignez l’identifiant du tenant Azure Active Directory puis cliquez sur Connection.

Une fenêtre s’ouvre visant à lancer la procédure qui donne les droits au service Datalert! sur Microsoft Intune. Cliquez sur le logo pour ouvrir la fenêtre d’autorisation à Microsoft Azure.

Connectez-vous avec un compte disposant des droits sur le tenant Microsoft Intune et acceptez la page visant à donner les autorisations nécessaires au service Datalert!.

Une page vous annonce la configuration avec succès de l’interconnexion puis le retour sur le portail Datalert valide les étapes d’autorisation Azure AD, de validation de la connexion et d’enregistrement. L’état doit remonter comme actif.

Avant de continuer, validez que le MDM Server est à On dans le portail Datalert!

Déploiement de l’application Datalert sur les périphériques

Il existe différentes manières d’aborder le déploiement de l’application Datalert sur les périphériques de votre entreprise :

• Soit vous gérez uniquement des périphériques d’entreprise et vous pouvez déployer globalement l’application sur tous les périphériques enregistrés ou tous les utilisateurs. Dans ce cas, vous devez bloquer l’enregistrement de périphériques personnels (BYOD) via les options adéquates dans le service Microsoft Intune.
• Soit vous créez une catégorie de périphériques que l’utilisateur pourra choisir lors de l’enregistrement et qui viendra peupler un groupe de périphériques qui se verra déployer l’application.
• Soit l’action de catégorisation est faite manuellement par l’administration ou par pré-enregistrement du périphérique.

Procédez donc à la création d’un groupe qui sera utilisé pour cibler l’application en ouvrant le portail Azure puis en naviguant dans Azure Active Directory – Users and groups – All Groups et en sélectionnant New group. Dans les deux derniers cas, vous pouvez utiliser un groupe peuplé avec l’attribut Ownership pour filtrer les périphériques d’entreprises ou personnels.

Une fois la stratégie définie pour votre contexte, vous pouvez déployer l’application via le portail Azure et le service Microsoft Intune.  Naviguez dans Mobile Apps – Apps et cliquez sur Add.

Choisissez le type d’application Android store app ou iOS store app.

Cherchez ensuite l’application Datalert dans le store via l’assistant intégré du portail Azure :

Validez les informations prérenseignée par l’assistant puis procédez à l’ajout en cliquant sur Add.

Vous pouvez ensuite assigner l’application au groupe précédemment créé en naviguant dans Assignments en sélectionnant un groupe et en choisissant le type de déploiement Required

Vous pouvez répéter l’opération pour Android. Deux solutions s’offrent à vous :

• Soit vous gérez vos périphériques Android via Android for Work et vous pouvez donc déployer l’application Datalert via le Google Play for Work. Dans ce cas, vous devez avoir bien entendu configurer l’interconnexion avec Android for Work.

• Soit vous gérez une partie de vos périphériques sans Android for Work et dans ce cas, vous pouvez utiliser la procédure précédente. Pour Android, il n’existe pas de moyen de chercher l’application, vous devez renseigner l’adresse vers l’application dans le Google Play Store ainsi que l’ensemble des informations demandées (Nom, description, éditeur, système d’exploitation minimum, etc.)

Les versions iOS et Android doivent donc être déployées en fonction des plateformes que vous supportez :

Déploiement de l’application Microsoft Authenticator sur les périphériques iOS

Datalert! offre un service d’authentification spécifique avec Azure Active Directory pour les utilisateurs iOS, vous devez pour cela déployer l’application Microsoft Authenticator via le portail Azure et le service Microsoft Intune.  Naviguez dans Mobile Apps – Apps et cliquez sur Add. Choisissez le type d’application Android store app ou iOS store app. Cherchez ensuite l’application Datalert dans le store via l’assistant intégré du portail Azure :

Validez les informations pré-renseignée par l’assistant puis procédez à l’ajout en cliquant sur Add.

Vous pouvez ensuite assigner l’application au groupe précédemment créé en naviguant dans Assignments en sélectionnant un groupe et en choisissant le type de déploiement Required

Une fois l’application déployée, vous pouvez passer à la configuration du service Datalert !. 

L’équipe Microsoft Intune a publié un billet qui rappelle qu’il est nécessaire d’activer l’authentification moderne pour Skype for Business de manière à bénéficier l’accès conditionnel d’Azure Active Directory. Le support de l’authentification moderne a été apporté en mai 2017 par une mise à jour cumulative sur Skype for Business Server 2015.

Outre l’accès conditionnel, ce sont les stratégies de protection d’application qui nécessite aussi l’authentification moderne. Ces stratégies présentes dans Intune App Protection, permettent d’empêcher la perte de données.

Plus d’informations sur : https://techcommunity.microsoft.com/t5/Skype-for-Business-Blog/Hybrid-Modern-Authentication-for-Skype-for-Business/ba-p/134751

Source : https://blogs.technet.microsoft.com/intunesupport/2018/01/11/support-tip-intune-app-protection-requires-modern-authentication-enabled-for-skype-for-business/

Microsoft a annoncé que Windows 10 1709 (Fall Creators Update) est maintenant pleinement disponible pour tout le monde incluant les entreprises. Ceci signifie que la version a passé le statut de Semi-Annual Channel (Broad) ou Current Branch for Business (CBB).

Les médias seront publiés sur Windows Update, Windows Update for Business, WSUS et Microsoft Volume License Center à partir du 22 Janvier.

Plus d’informations sur les versions de Windows 10 sur : http://aka.ms/win10releaseinfo

Source : https://blogs.windows.com/windowsexperience/2018/01/11/windows-10-fall-creators-update-1709-fully-available/

Il y a une semaine, le monde passait 2018 avec l’information que la majorité des périphériques équipés d’un processeur Intel, AMD ou ARM, étaient vulnérables à de nouvelles failles de sécurité. Même IBM est concerné par cette problématique. Ceci est valable quel que soit le système d’exploitation (Windows, Linux, macOS, AIX, IBM i, iOS, Android, etc.). En effet, les deux failles en question : Spectre et Meltdown, touchent l’architecture même du processeur. Ceci demande à l’éditeur de modifier le kernel du système d’exploitation afin d’adapter les appels processeur pour que la faille ne puisse pas être exploitée.
Encore une fois, Google a pris tout le monde de cours en révélant la faille quelques jours avant que la mise à jour de sécurité ne soit publiée. A noter qu’Intel vient de publier un autre bulletin de sécurité à propos de son contrôleur de gestion AMT.

Je souhaitais faire un article pour résumer les nombreuses informations que l’on retrouve sur Internet. Je vais me concentrer sur les environnements Microsoft même si vous devez porter une attention particulière pour des machines Linux, macOS ou des périphériques iOS ou Android.

Que faut-il appliquer pour que mon système ne soit pas vulnérable ?

Il existe différents niveaux de mises à jour :

• Le système d’exploitation doit être mis à jour en fonction des indications de l’éditeur.
  • January 3, 2018–KB4056897 (Security-only update)
  • January 9, 2018–KB4056894 (Monthly Rollup)
  • January 3, 2018–KB4056888 (OS Build 10586.1356)
  • January 3, 2018–KB4056892 (OS Build 16299.192)
  • January 3, 2018–KB4056891 (OS Build 15063.850)
  • January 3, 2018–KB4056890 (OS Build 14393.2007)
  • January 3, 2018–KB4056898 (Security-only update)
  • January 3, 2018–KB4056893 (OS Build 10240.17735)
  • January 9, 2018–KB4056895 (Monthly Rollup)
  • Notez que Microsoft ne mettra pas à jour Windows XP, Windows Vista, Windows WES 2009, Windows POSReady 2009.
• Le firmware de la machine doit être mis à jour. Microsoft a par exemple publié des mises à jour pour les périphériques Surface encore supportés. Notez que pour certaines mises à jour de firmware, il est recommandé de désactiver BitLocker avant d’installer. Vous pouvez pour cela utiliser une séquence de tâches avec les actions suivantes :
  • Disable BitLocker
  • Install Application
  • Restart Computer
• Pour voir la liste des firmwares publiés en prévision de publication, rendez-vous sur le site des éditeurs :
  • Dell PCs and Thin Client
  • Dell EMC Server, Dell Storage and Networking products
  • Lenovo
  • HP Client
  • HP Server
  • Acer
  • Asus
  • Fujitsu
  • Panasonic
  • Supermicro
  • Toshiba
  • VAIO

• Certaines applications doivent être mises à jour lorsqu’elles font des appels processeurs sur une machine physique. C’est par exemple le cas de toutes les versions de SQL Server (exceptées celles qui fonctionnent sur Itanium…) mais aussi d’autres moteurs de base de données (PostgreSQL, etc.). Ainsi des mises à jour sont disponibles excepté pour les versions non supportées (SQL server 2000 et 2005) :
  • Security Update for SQL Server 2008 SP4 (KB4057114)
  • Security Update for SQL Server 2008 R2 SP3 (KB4057113)
  • Security Update for SQL Server 2016 RTM CU (KB4058559)
  • Security Update for SQL Server 2016 RTM(KB4058560)
  • Security Update for SQL Server 2016 SP1 (KB4057118)
  • Security Update for SQL Server 2016 SP1 CU (KB4058561)
  • Security Update for SQL Server 2017 RTM (KB4057122)
  • Security Update for SQL Server 2017 CU (KB4058562)
  • SQL Server 2016 SP1 CU7
  • SQL Server 2017 CU3

Il existe un risque accru si le serveur physique exécute Hyper-V, Remote Desktop Services Hosts (RDSH) ou du code non connu comme des conteneurs, des extensions pour les bases de données, des sites web non connus, etc. Dans ce cas, il est recommandé d’activer la protection sur le serveur via des clés de registre décrite dans cet article : Windows Server Guidance to protect against the speculative execution side-channel vulnerabilities

Les différentes mises à jour relatives à Microsoft peuvent être déployées via Microsoft Update, Windows Update for Business, WSUS et bien entendu System Center Configuration Manager. Ceci inclus les mises à jour de firmware à destination des périphériques Surface.

A noter que pour ces dernières et System Center Configuration Manager, les firmwares devraient apparaître dans la console d’administration dans les jours qui viennent.

Voici tous les articles de recommandation de Microsoft :

• Windows Client Guidance for IT Pros to protect against speculative execution side-channel vulnerabilities
• Windows Server Guidance to protect against the speculative execution side-channel vulnerabilities
• SQL Server Guidance to protect against speculative execution side-channel vulnerabilities
• Microsoft Cloud Protections Against Speculative Execution Side-Channel Vulnerabilities
• Surface Guidance for Customers and Partners: Protect your devices against the recent chip-related security vulnerability
• Azure Stack guidance to protect against the speculative execution side-channel vulnerabilities
• Exchange Server guidance to protect against speculative execution side-channel vulnerabilities

Comment appliquer la mise à jour Windows ?

Le changement sur le kernel peut engendrer des incompatibilités avec les applications qui effectuent des appels non standards ou qui ne passent pas par les APIs standards. C’est le cas des Antvirus !

C’est pourquoi, Microsoft a créé un mécanisme spécial pour l’application de la mise à jour de sécurité.  Cette dernière ne s’applique que si la clé suivante a été créée :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\QualityCompat

Valeur : cadca5fe-87d3-4b96-b7fb-a231484277cc
Type : REG_DWORD
Donnée  : 0x00000000

En fonction de l’antivirus et de sa version, la clé a pu être créée automatiquement par ce dernier. C’est le cas pour les antivirus suivants :

• Windows Defender
• System Center EndPoint Protection
• Microsoft Security Essentials
• Sophos
• Kaspersky
• McAfee VirusScan Enterprise 8.8 ou plus et Endpoint Security (ENS) 10.0.2 ou plus
• ESET

Note : La création de la clé de registre requiert que les mises à jour de définition soient faites et à jour.

Voici la liste des antivirus compatibles :

• McAfee
• Sophos
• Kaskersy
• Stormshield Endpoint Security
• ESET

Vous pouvez cliquer sur les liens pour obtenir la liste des versions. Voici une liste non officielle des antivirus et leur compatibilité.

C’est donc à vérifier que votre antivirus et la version que vous utilisez, a créé la clé nécessaire ou que la version est compatible. Dans ce dernier cas de figure, vous devez créer la clé vous-même.

Plus d’informations sur : Important: Windows security updates released January 3, 2018, and antivirus software

Quid du Cloud ?

Les différents fournisseurs Cloud effectuent ou ont effectué des mises à jour des différentes briques. C’est le cas de Microsoft avec les machines virtuelles et les hôtes sur ses Datacenter Microsoft Azure.

Comment vérifier si le système est vulnérable ?

Microsoft a publié un module PowerShell SpeculationControl permettant de vérifier si les machines sont vulnérables à cette faille de sécurité.

Il existe de nombreux moyens d’exécuter le script :

• Via la gestion de conformité de System Center Configuration Manager. Microsoft a publié une baseline pour ce besoin.
• Via la fonction d’exécution des scripts qui est apparue dans System Center Configuration Manager 1706.

L’article de l’equipe produit ConfigMgr détaille comment mettre en œuvre cette vérification.

Vous pouvez en apprendre plus sur le script et notamment la signification des éléments renvoyés via l’article de la base de connaissances : Understanding the output of the Get-SpeculationControlSettings PowerShell script

En outre, il existe des solutions communautaires qui offre un rapport en interrogeant les différentes machines.

Quels sont les problèmes connus ?

Il est à noter que pour l’heure, la mise à jour de sécurité provoque des problèmes avec les périphériques AMD engendrant des écrans bleus sans capacité de restauration des systèmes :

• Unbootable state for AMD devices in Windows 8.1 and Windows Server 2012 R2
• Unbootable state for AMD devices in Windows 7 and Windows Server 2008 R2

Existe-t-il un impact sur les performances ?

Malheureusement, il y a belle et bien un impact qui dépend de nombreux paramètres : Le système d’exploitation, l’application, et la configuration de l’environnement (nombre d’utilisateurs, action effectuée, etc.). Difficile de donner des statistiques exactes, certaines applications sont touchées (Ex : Remote Desktop Services, etc.) alors que d’autres ne le sont pas ou peu.

Chaque fabricant ou éditeur de solution publie (ou ne le fait pas) des informations sur le sujet. Microsoft s’attache en ce moment à évaluer l’impact au cas par cas.

Focus sur System Center Configuration Manager

Vous le savez, j’ai une attache particulière à Configuration Manager et par conséquent, il me parait important de donner des recommandations sur l’impact sur ce produit. La mise à jour n’a pas d’impact en termes de compatibilité sur le produit. L’impact sur les performances est négligeable.

Veillez à ne pas suivre les recommandations pour l’application des KB SQL Server en ne désactivant pas la CLR et les linked servers.

Des recommandations spécifiques sont disponibles sur : Additional guidance to mitigate speculative execution side-channel vulnerabilities

Microsoft va proposer un événement de questions/réponses. Cet évènement aura lieu le mardi 16 janvier de 18h à 19h ou 1h à 2h (heure française). Ask Microsoft Anything est une belle opportunité pour poser des questions sur les services Windows Analytics Upgrade Readiness, Update Compliance et Device Health.

Pour s’inscrire : https://techcommunity.microsoft.com/t5/Windows-Analytics-AMA/bd-p/WindowsAnalyticsAMA

Microsoft a mis à jour son outil permettant de télécharger et créer une clé USB ou une ISO de Windows.

Télécharger Windows USB/DVD Download Tool