Microsoft a publié un billet à propos de la nouvelle version du portail d’entreprise (Company Portal) de Microsoft Intune à destination d’iOS. Cette version comprend un retravaille complet du design.

Vous pouvez tester cette version en avant-première via le lien suivant : https://aka.ms/intune_ios_cp_testflight

Vous devez pour cela avoir les prérequis suivants :

• Un tenant Intune avec un le certificat Apple Push Notification Service (APNs) configuré
• Un périphérique iOS de test.
• Fournir des retours sur l’expérience.

Pour plus d’informations et obtenir un aperçu du rendu graphique : https://blogs.technet.microsoft.com/intunesupport/2018/01/11/coming-soon-user-experience-update-to-the-intune-ios-company-portal-app/

Luca Vitali (MVP) a créé un tableau comparatif très intéressant sur les fonctionnalités présentes dans Skype for Business On-Prem, Online et Teams. Vous obtenez une vue synthétique de ce qui est déjà présent, sur la roadmap ou non encore planifié.

Source : https://lucavitali.wordpress.com/2017/10/01/sfb-teams-features-comparison-table/  

NOTE : La date de fin de vie a été déplacée au 31 août 2018

A partir du 2 avril 2018, Microsoft ne permettra plus la gestion des périphériques mobiles (MDM) dans l’ancien portail Microsoft Intune en Silverlight. En lieu et place, il sera nécessaire d’utiliser le portail Intune dans Microsoft Azure.

Ainsi, seule la gestion classique des PCs avec l’agent Intune restera dans le portail Silverlight.

Vous devez vérifier que la migration de votre tenant s’est bien passé en validant les stratégies, les messages dans le centre Office Message Center.

A noter que pour les entreprises qui utilisent Microsoft Intune dans mode hybride couplé à System Center Configuration Manager, la configuration d’Android for Work et des solutions de Mobile Threat Defense se feront toujours depuis le portail Silverlight.

Source : https://blogs.technet.microsoft.com/intunesupport/2018/01/03/plan-for-change-use-intune-on-azure-now-for-your-mdm-management/

Microsoft a publié la version finale de PowerShell Core 6. Cette version est proposée comme une solution OpenSource cross-plateforme. Le but est d’adresser des besoins et changements demandés par les clients dans des délais plus courts que ce qui a été le cas avec Windows PowerShell.  Il n’y a plus de dépendance sur le Framework .NET.

Pour rappel, Microsoft a renommé l’exécutable PowerShell en pwsh.exe pour PowerShell Core 6. Les versions précédentes et les extensions de fichiers ne sont pas impactées.

Les plateformes supportées sont les suivantes :

• Windows 7, 8.1, et 10
• Windows Server 2008 R2, 2012 R2, 2016
• Windows Server Semi-Annual Channel
• Ubuntu 14.04, 16.04, et 17.04
• Debian 8.7+, et 9
• CentOS 7
• Red Hat Enterprise Linux 7
• OpenSUSE 42.2
• Fedora 25, 26
• macOS 10.12+

On retrouve aussi des packages et versions non supportées pour :

• Arch Linux
• Kali Linux
• AppImage
• Windows sur ARM32/ARM64
• Raspbian (Stretch)

Plus d’informations sur : https://blogs.msdn.microsoft.com/powershell/2018/01/10/powershell-core-6-0-generally-available-ga-and-supported/

Télécharger

• PowerShell Core 6.0 sur Windows
• PowerShell Core 6.0 sur macOS et Linux

Avec l’arrivée de Windows 10, Microsoft a travaillé son système d’exploitation pour offrir un nouvel écosystème aux développeurs. La promesse est grande, la plateforme universelle Windows doit offrir une expérience commune quelque soit le périphérique (fonction, taille, écran, etc.). En outre, ce modèle doit révolutionner dont les applications sont proposées, déployées, maintenues etc. L’objet de cet article est d’aborder les applications converties en applications universelles (APPX) via Desktop Bridge ou Desktop App Converter

Avant d’aller plus loin, je vous invite à lire la première partie de cette série qui traite de la conversion d’une application.

Une fois convertie, il existe différents moyens de déployer l’application :

• Microsoft Store : Ceci revient à publier l’application dans le Microsoft Store. Seuls les développeurs peuvent être concernés par cette méthode.
• Microsoft Store for Business : Ceci permet aux entreprises qui ont développé des applications métiers de les publier et déployer via le Microsoft Store for Business.
• Package de provisionnement via Windows Imaging and Configuration Designer (WICD). Cette méthode reste artisanale mais peut être intéressante pour des périphériques en mode Kiosk.
• Des solutions d’administration comme System Center Configuration Manager ou Microsoft Intune.
• Manuellement via AppInstaller ou les outils PowerShell

Déploiement de l’application manuellement

Une fois convertie, vous pouvez déployer manuellement l’application via AppInstaller inclus dans Windows 10 mais vous devez pour cela autoriser le chargement d’applications dans l’application Settings (Paramètres) – Update & Security – For Developers. Sélectionnez Sideload apps :

Vous n’avez plus qu’à double cliquer sur l’AppX pour lancer l’installation :

Note : Le certificat qui a signé l’application doit être délivré par une autorité de confiance et/ou déployé dans le store Trusted People ou Trusted Root Certification Authorities.

Les applications sont installées dans le dossier C:\Program Files\WindowsApps\<Nom du Package>. On y retrouve l’exécutable et le fichier manifest (AppxManifest.xml)

Une fois installée, l’application peut ensuite être désinstaller par l’utilisateur via le menu démarrer :

Déploiement de l’application via Microsoft Intune

L’installation manuelle n’est clairement pas envisageable dans le monde de l’entreprise. En lieu et place, nous allons détailler comment déployer l’application via Microsoft Intune. Notez que le processus similaire peut être adopté avec System Center Configuration Manager.

Si vous avez utilisez un certificat autosigné, vous devez le déployer sur les périphériques. Il en est de même si vous avez utilisé un certificat provenant de votre autorité de certification interne. Vous devez alors déployer le certificat de l’autorité racine.

Note : Cette opération n’est pas nécessaire si vous avez utilisé un certificat de signature de code provenant d’une autorité publique.

Commencez par ouvrir le portail Microsoft Intune puis naviguez dans Device configuration puis Profiles. Faites Create profile.
Renseignez le nom du profil et la description. Sélectionnez la plateforme Windows 10 and later. Choisissez le type de profil : Trusted Certificate.
Enfin sur la page de configuration, renseignez le fichier du certificat (.cer) et le magasin de destination : Computer certificate store – Root.

Cliquez sur OK puis Create.

Une fois le profil créé, assignez-le à un groupe contenant les périphériques Windows 10.

Note : Ce groupe doit être créé par vos soins. Je vous invite à lire mon article sur le sujet.

Maintenant que le profil du certificat est déployé, vous pouvez déployer l’application. Pour ce faire sur le portail Microsoft Intune, naviguez dans Mobile Apps – Apps. Cliquez sur Add. Sélectionnez le type d’application Line-of-business app et renseignez le fichier d’application APPX.

Sur l’écran App Information, renseignez les informations de l’application :

• Nom
• Description
• Editeur,
• Catégorie
• URL d’information
• URL de vie privée

Cliquez sur Ok puis Add.

Vous pouvez suivre l’upload de l’application via la partie notifications du portail :

L’application créée, vous pouvez compléter la partie Assignments pour choisir à qui et comment déployer l’application. Sélectionnez le groupe cible puis la façon dont elle doit être mise à disposition : De manière obligatoire ou en libre-service.

Expérience utilisateur via la gestion moderne

Maintenant que vous avez déployé le certificat et l’application, jetons un coup d’œil à une machine Windows 10 enregistrée dans Microsoft Intune. Après synchronisation des stratégies, on peut voir apparaître le certificat dans le magasin Trusted Root Certification Authorities :

Rappel : Ceci n’est pas nécessaire avec un certificat provenant d’une des autorités listées dans ce magasin (Ex : GeoTrust, GlobalSign, Entrust, Digicert, etc.)

Dès lors que la machine est gérée par Microsoft Intune et qu’une application universelle a été chargée sur le poste, Microsoft Intune se charge de passer le paramètre de chargement des applications à la valeur adéquate :

L’application déployée apparaît dans le Menu Démarrer :

Elle peut être démarrée de manière transparente :

Dépannage du déploiement par Microsoft Intune

De manière à déployer le déploiement d’une application universelle (APPX), vous pouvez ouvrir l’observateur d’événements (EventViewer) et naviguez dans Applications and Services Logs -  Microsoft – Windows. Vous retrouvez les trois catégories :

• AppXDeployment
• AppXDeployment-Server
• AppxPackagingOM

Vous retrouverez dans ces journaux des informations sur le déploiement, l’enregistrement, la maintenance des applications universelles (APPX).

En outre à partir de Windows 10 1709, vous pouvez générer un rapport de diagnostic à partir de l’application Settings (Paramètres) – Accounts – Access work or school en cliquant sur le compte puis Info. Dans la section Connection Info, vous pouvez choisir Create Report puis Export. Un fichier MDMDiagReport.html est exporté dans C:\Users\Public\Documents\MDMDiagnostics.

Par le biais d’un message (MC#125098), Microsoft a communiqué qu’à partir de février 2018, Microsoft Intune ne supportera plus que l’enregistrement des périphériques macOS X 10.11 et plus. Les versions de mac OS X 10.10 (Yosemite) et 10.9 (Mavericks) ne pourront plus être enregistrées mais continueront d’être gérées si elles ont déjà été enregistrées avant. L’utilisateur accédera encore au site web du portail d’entreprise.

Cependant si vous avez activé l’accès conditionnel (CA), l’accès aux ressources de l’entreprise pour les périphériques mac OS X 10.9 et 10.10 sera bloqué.

Pour identifier ces versions, vous pouvez :

• Vous connecter au portail Azure
• Naviguer dans Devices > All Devices
• Filtrer sur la version du système d’exploitation.

Microsoft a publié un livre blanc permettant de configurer Windows 10 Enterprise de manière à être conforme et supporter HIPAA. Cette version du livre blanc ajoute les éléments relatifs à Windows 10 1709. Pour rappel, Health Insurance Portability and Accountability Act (HIPAA) garantit que les particuliers ont certaines protections pour leurs renseignements personnels et le droit de conserver une copie de leur propre dossier de santé et exige que les "entités couvertes" et leurs "associés" se conforment aux règles de sécurité, de confidentialité et de notification des atteintes à la vie privée. Cette loi est un standard américain mais qui peut s’appliquer à votre entreprise si elle est internationale.

Télécharger : HIPAA Compliance with Microsoft Windows 10

L’équipe PowerShell et Jeffrey Snover vont proposer un événement de questions/réponses. Cet évènement aura lieu le jeudi 11 janvier de 18h à 19h (heure française). Ask Microsoft Anything est une belle opportunité pour poser des questions sur PowerShell avec une réponse directe.

Vous devez être membre de Tech Community pour poster vos questions via l’adresse : http://aka.ms/community/Windows10

Pour s’inscrire : https://aka.ms/PowerShellAMA.

Avec l’arrivée de Windows 10, Microsoft a travaillé son système d’exploitation pour offrir un nouvel écosystème aux développeurs. La promesse est grande, la plateforme universelle Windows doit offrir une expérience commune quelque soit le périphérique (fonction, taille, écran, etc.). En outre, ce modèle doit révolutionner dont les applications sont proposées, déployées, maintenues etc. L’objet de cet article est de traiter de la transformation ou modernisation des applications existantes en applications universelles (APPX) via Desktop Bridge ou Desktop App Converter

Dans les faits, les applications universelles de Windows 10 offrent les bénéfices suivants :

• Elles sont toujours à jour via le système intégré au Microsoft Store et via Windows Update. Si le développeur met à disposition une nouvelle version alors l’application de l’utilisateur est mise à jour sans nécessiter d’actions particulières.
• Réutilisation de l’existant : Les applications universelles offrent des ponts qui permettent de ne pas retravailler l’application en intégralité.
• Protection des données : Les données sont stockées dans un conteneur dédié. Le conteneur contrôle aussi l’accès au matériel et aux données (Microphone, Camera, Emplacement, Contacts, Notifications, etc.)
• Simplification du développement : Microsoft propose un seul développement permettant de cibler tous les périphériques qui exécutent une version de Windows 10. Ceci inclut la partie Desktop, Mobile, Team (Surface Hub), Holographic (Hololens), ou IoT.
• L’expérience utilisateur: Evolution de l’expérience utilisateur de manière à s’intégrer pleinement dans le système d’exploitation et ses fonctions (Cortana, Partage, etc.).

Le principal bénéfice dont nous allons parler ici est la fiabilité liée au mode de packaging et au déploiement des applications universelles. Si on reprend les applications Win32, on retrouve différentes solutions de packaging (MSI, InstallShield, etc.) demandant plus de complexité dans le déploiement de ces applications.

Les applications universelles offrent une solution bien plus robuste de packaging :

• Le système d’exploitation gère l’installation, la mise à jour et la désinstallation
• Les applications sont installées pour les utilisateurs – Adieu les problématiques pour des machines multi utilisateurs multi profils.
• L’état de l’application est géré et sécurisé par le système d’exploitation.
• Toutes les applications sont signées par une autorité de confiance.
• Un versioning formel.
• Tout est présent dans un fichier unique (appx ou appxbundle)

D’un point de vue déploiement, c’est le graal pour tous les administrateurs :

• Une installation et désinstallation totalement propre.
• Des applications toujours à jour (lorsque déployées via le store)
• Aucune élévation de privilèges n’est nécessaire pour installer l’application.
• Un impact réduit sur le système.
  • Optimisation de l’espace disque avec une seule instance de fichiers stockées à travers les applications et utilisateurs.
  • Des mises à jour différentielles au niveau du block.
  • Une protection contre la falsification.
  • Le système gère l’application (lancement, mise en pause, reprise, arrêt)
• Chaque application est identifiable avec une identité UWP permettant de la détecter facilement.

En théorie, il faut développer l’application avec le Framework Universal Windows Platform pour bénéficier de tous les avantages cités plus haut. Néanmoins, Microsoft a créé Desktop App Converter (nom de code Centennial) pour convertir des applications Desktop (Win32) existantes.

Pour plus d’informations sur le processus de conversion, vous pouvez lire : Behind the scenes of the Desktop Bridge

Un des bénéfices cible principalement la gestion moderne via Microsoft Intune. Par défaut, Windows 10 ne permet le déploiement que des applications au format MSI (un seul fichier) ou des applications universelles. Avec Desktop App Converter, il devient possible de déployer la majorité des applications bien que le poste ne soit pas géré que de façon moderne (sans Co-Management avec Microsoft Intune).

Notez que Microsoft Intune propose Intune Management Extension permettant d’exécuter des scripts PowerShell et par conséquent d’exécuter l’installation d’applications. Néanmoins, cette solution ne propose pour l’instant pas la gestion de repository de sources et doit être couplée avec des serveurs locaux ou des solutions de gestion de sources (Chocolatey).

Aujourd’hui des milliers d’applications ont déjà été converties et sont proposées au travers du Microsoft Store. C’est par exemple le cas d’Office 365 Personal.

Les prérequis de la conversion sont les suivants :

• L’application doit fonctionner avec le .NET Framework 4.6.1.
• L’application doit pouvoir s’installer de manière silencieuse (sans action d’un utilisateur). Note : Les outils tiers permettent de packager des applications qui ne peuvent être installée de manière silencieuse.
• L’application ne doit pas nécessiter d’élévation de privilèges.
• L’application ne doit pas installer de drivers ou de service.
• L’application ne doit pas utiliser AppData pour communiquer avec d’autres applications.
• L’application ne doit pas écrire dans le répertoire d’installation.

Préparation de la machine de référence

Maintenant que nous avons planté le décor, nous allons pouvoir passer dans le vif du sujet en commençant par préparer une machine de référence. Je vous recommande l’utilisation d’une machine dédiée qui répond aux prérequis suivants :

• Windows 10 1607 (Anniversary Update) ou plus en édition Pro ou Enterprise. Pour bénéficier des dernières avancées, je vous invite à utiliser Windows 10 1709 (Fall Creators Update).
• Un processeur 64-bit (x64)
• Une machine ayant les instructions de virtualisation matériel et supportant la technologie Second Level Address Translation (SLAT)

Récupérez la Windows Software Development Kit (SDK) for Windows 10 et procédez à l’installation :

Passez les différents écrans et validez que l’ensemble des composants sont installés :

Une fois le SDK installé, vous devez télécharger et installer l’application Desktop App Converter depuis le Microsoft Store.

Vous devez ensuite télécharger l’image de base correspondant à la version de Windows 10 que vous utilisez pour Desktop App Converter. Sauvegardez l’image dans un dossier sur votre disque. Par exemple : C:\DesktopAppConverter\Images\

Une fois ces prérequis validés, vous pouvez ouvrir le menu démarrer puis localiser Desktop App Converter. Cliquez droit faire More (Plus) puis Run as administration (Exécuter en tant qu’administrateur). Ceci est primordial pour permettre de réaliser les opérations nécessaires avec l’outil.

Une fois l’outil lancé, vous devez installer l’image téléchargée. Cette opération installera notamment les fonctionnalités Windows dont notamment Containers.
Pour ce faire, exécutez la commande : DesktopAppConverter.exe -Setup -BaseImage <CheminVersLimage>\<Image>.wim

Un redémarrage peut être initié pour activer la fonctionnalité Containers, vous devez alors vous reconnecter. Une fenêtre PowerShell apparaîtra puis disparaîtra une fois l’opération terminée.

Conversion de l’application

Votre environnement est maintenant prêt à convertir/packager des applications. Vous devez donc récupérer les sources des applications que vous souhaitez packager. Dans le cadre de ce billet, j’ai pris l’exemple d’Adobe Reader. Vous devez cibler une application qui doit pouvoir s’installer de manière silencieuse et répondre aux prérequis précédents.

Lancez Desktop App Converter en tant qu’administrateur. Exécutez la commande suivante :
DesktopAppConverter.exe -Installer <CheminVersLapplication> -InstallerArguments "<Arguments>" -Destination <DossierUtiliserPourStockerLePackage> -PackageName "<NomDuPackage>" -PublisherName "CN=<Nom de l’entreprise>" -Version <VersionSur4Digit> -MakeAppx -Sign -Verify

Note : Desktop App Converter ne prend pas en charge Unicode ; ainsi, aucun caractère chinois ou caractères non-ASCII ne peut être utilisé avec l'outil.

Desktop App Converter fait le travail de conversion en spécifiant un certain nombre de validations. Une fois terminé, il a généré le fichier APPX, les fichiers de journalisation et le certificat autosigné utilisé pour signer l’application.

Dans le dossier PackageFiles, vous retrouvez les éléments essentiels du package dont notamment :

• Le fichier AppxManifest.xml déclare les comportements de l’application : Dépendances, Logos, raccourcis, associations de fichiers, exceptions pare-feu, intégration avec l’explorateur de fichiers etc. Pour plus d’informations, je vous invite à lire : Integrate your app with Windows 10 (Desktop Bridge)
• Le fichier Registry.dat contient la ruche avec les informations normalement créées dans la base de registre.
• Le dossier VFS contient le système de fichiers tel qu’il aurait été créé par l’application.
• Le dossier Assets contient les éléments essentiels comme le logo, etc.

Note : Desktop App Converter adopte une approche très conservatrice. Si vous le souhaitez, vous pouvez consulter le dossier VFS et supprimer tous les fichiers dont votre installateur n'a pas besoin. Vous pouvez également consulter le contenu de Registry. dat et supprimer toutes les clés qui ne sont pas installées/nécessaires à l'application. Vous devrez alors regénérer le fichier APPX via la commande MakeAppx.

Considération importante : Comme avec Microsoft Application Virtualization (App-V), vous devez supprimer tous les comportements inclus dans l’application et modifiant sa structure d’installation. Ainsi si l’application inclut un mécanisme de mise à jour automatique (AutoUpdater, etc.), il doit être neutralisé via les arguments d’installation. Dans le cas contraire, cela pose deux problèmes :

• L’application demandera à l’utilisateur d’avoir les droits d’administration pour installer la mise à jour.
• L’application installer/mettra à jour l’application dans le chemin d’installation par défaut. Elle ne mettra donc pas à jour l’application universelle.

Vous devez donc gérer les mises à jour des versions indépendamment en repackageant l’application et en déployant la nouvelle version.

Nous avons vu comment créer une application de manière simplifiée avec un certificat autogénéré. Cette solution n’est clairement pas idéale pour le monde de l’entreprise et doit être substituée à l’une d’elle (par ordre de préférence) :

1. Achat d’un certificat de signature de code à une autorité publique (Exemple : Symantec, Digitcert, GlobalSign, etc.). Cette méthode est préférée car l’application est par défaut jugée fiable par le système dès lors que la machine dispose des autorités de certification racines publiques. Elle est donc déployable en l’état après signature.
2. Utilisation d’une autorité de certification d’entreprise (Exemple : Active Directory Certificate Services, etc.) pour générer le certificat de signature de code nécessaire. Cette méthode permet de s’affranchir de l’achat du certificat publique. L’application est jugée fiable par le système dès lors que la machine dispose du certificat racine de l’autorité de certification de l’entreprise dans son magasin. Celui-ci peut être déployé par défaut par Active Directory ou Microsoft Intune (en mode moderne).
3. Génération d’un certificat autosigné unique utilisé pour signer toutes les applications. Cette méthode doit être considérée en dernier recours. Vous pouvez générer un certificat de signature de code unique qui sera utilisé à chaque fois que vous devez convertir une application. Vous pouvez ensuite le déployer via Active Directory ou Microsoft Intune pour que les applications soient jugées fiables par le système.

Quelle que soit la méthode ci-dessus, nous reviendrons sur la façon permettant de déployer le certificat par Microsoft Intune dans l’article suivant.

Si vous souhaitez partir sur la 3^ème méthode, voici comment générer un certificat autosigné avec le SDK de Windows 10 :

1. Naviguez dans le répertoire d’installation du SDK : C:\Program Files (x86)\Windows Kits\10\bin\<Version>\x64
2. Exécutez la commande : exe /n <Nom de l’organisation> /r /h 0 /eku"1.3.6.1.5.5.7.3.3,1.3.6.1.4.1.311.10.3.13" /e <DateDExpiration> /sv MyKey.pvk MyKey.cer
3. Renseignez le mot de passe utilisé.

4. Exécutez ensuite la commande pour créer le fichier PFX :
   Pvk2Pfx /pvk MyKey.pvk /pi <Mot de Passe précédent> /spc MyKey.cer /pfx MyKey.pfx /po <Mot de Passe pour le PFX>

Une fois votre certificat de signature de code acquis ou généré, vous pouvez maintenant convertir l’application sans la signer avec la ligne de commande :

DesktopAppConverter.exe -Installer <CheminVersLapplication> -InstallerArguments "<Arguments>" -Destination <DossierUtiliserPourStockerLePackage> -PackageName "<NomDuPackage>" -PublisherName "<CN COMPLET du certificat>" -Version <VersionSur4Digit> -MakeAppx -Verify

Note : J’attire votre attention sur le PublisherName qui doit correspondre au nom commun complet du certificat qui sera utilisé pour signer l’application. Par exemple : CN = MicrosoftTouch Company, O = MicrosoftTouch, L = LYON, S = France, C = FR. Si ce n’est pas le cas, la signature échouera avec l’erreur : « Error : SignerSign() failed. " (-2147024885/0x8007000b) "

Outre les paramètres que nous avons vu jusqu’à maintenant, Desktop App Converter propose aussi :

• -InstallerValidExitCodes <Int32> : Permet de spécifier un code de retour spécifique si l’application ne respecte pas les codes de retour de référence.
• -AppFileTypes <String> : Permet de spécifier les extensions de fichiers à associer à l’application.
• -AppDescription <String> : Permet de spécifier la description de l’application.
• -PublishComRegistrations : Analyse tous les enregistrements COM faits par l’installeur et publie ceux qui sont valides dans le fichier Manifest.

Si vous souhaitez packager une application qui n’a pas d’assistant d’installation et qui ne correspond qu’à un exécutable, voici la ligne de commande : DesktopAppConverter.exe -Installer <CheminVersLapplication>  -AppExecutable MyApp.exe -Destination <DossierUtiliserPourStockerLePackage> -PackageName "<NomDuPackage>" -PublisherName "<CN COMPLET du certificat>" -Version <VersionSur4Digit> -MakeAppx -Verify

Une fois le fichier APPX généré, vous pouvez le signer avec votre certificat via la procédure suivante :

1. Naviguez dans le répertoire d’installation du SDK : C:\Program Files (x86)\Windows Kits\10\bin\<Version>\x64
2. Exécutez la commande : exe sign /fd SHA256 /debug /a /f <CheminVersLeCertificat.pfx> <CheminVersL’Application.appx>

Pour en apprendre plus, je vous invite à consulter le blog suivant : http://aka.ms/AppInstaller

On retrouve des solutions payantes :

• InstallShield par flexera
• WiX par FireGiant
• Advanced Installer par caphyon
• InstallAware APPX Builder
• Embacadero RAD, Builder
• Cloudhouse

Vous pouvez maintenant passer au déploiement de cette application convertie.

Aujourd’hui, 9 janvier 2018 signe la fin du support des produits suivants :

• Office Communications Server 2007
• Office Communications Server 2007 R2
• Windows 10 Mobile (Publié en Nov. 2015)
• System Center Data Protection Manager 2007
• System Center Virtual Machine Manager 2007    

Microsoft va procéder à des Webinars sur Azure Active Directory.                              

• Manage Your Enterprise Applications with Azure AD
  • January Live Webinar Option 1; Quand : 9 Janvier 2018 16h à 17h (Heure Française)
  • January Live Webinar Option 2; Quand : 9 Janvier 2018 20h à 21h (Heure Française)
  • January Live Webinar Option 3; Quand : 9 Janvier 2018 6h à 7h (Heure Française)
  • Voir les enregistrements à la demande pour cette session
• Getting Ready for Azure AD
  • January Live Webinar Option 1; Quand : 10 Janvier 2018 16h à 17h (Heure Française)
  • January Live Webinar Option 2; Quand : 10 Janvier 2018 20h à 21h (Heure Française)
  • January Live Webinar Option 3; Quand : 10 Janvier 2018 6h à 7h (Heure Française)
  • Voir les enregistrements à la demande pour cette session
• Secure Your Identities with Azure Multi Factor Authentication
  • January Live Webinar Option 1; Quand : 11 Janvier 2018 16h à 17h (Heure Française)
  • January Live Webinar Option 2; Quand : 11 Janvier 2018 20h à 21h (Heure Française)
  • January Live Webinar Option 3; Quand : 11 Janvier 2018 6h à 7h (Heure Française)
  • Voir les enregistrements à la demande pour cette session
• Intro to Azure AD B2C: Make it easy for your customers to securely Sign In and Sign Up to your applications
  • January Live Webinar Option 1; Quand : 16 Janvier 2018 16h à 17h (Heure Française)
  • January Live Webinar Option 2; Quand : 16 Janvier 2018 20h à 21h (Heure Française)
• Streamlining Password management Using Azure AD
  • January Live Webinar Option 1; Quand : 17 Janvier 2018 16h à 17h (Heure Française)
  • January Live Webinar Option 2; Quand : 17 Janvier 2018 20h à 21h (Heure Française)
  • Voir les enregistrements à la demande pour cette session
• Azure AD Identity Protection and Privileged Access Management
  • January Live Webinar Option 1; Quand : 18 Janvier 2018 16h à 17h (Heure Française)
  • January Live Webinar Option 2; Quand : 18 Janvier 2018 20h à 21h (Heure Française)
  • Voir les enregistrements à la demande pour cette session
• Accessing Your Organization’s Internal Applications via Azure AD App Proxy
  • Les dates arrivent plus tard
  • Voir les enregistrements à la demande pour cette session
• Azure AD Connect Health
  • Les dates arrivent plus tard
  • Voir les enregistrements à la demande pour cette session

Retrouvez-moi dans Office Café le 16 Janvier 2018 pour parler de la gestion moderne de Windows 10 et des bénéfices qu’elle apporte. J’aurais l’occasion de donner mon avis sur ce changement majeur dans la gestion du poste de travail.

Office Café, c’est quoi ?
Votre rendez-vous mensuel en ligne pour découvrir les nouvelles solutions digitales qui vont booster l’efficacité de votre entreprise.

Episode 4 : Comment simplifier la gestion de parc informatique tout en favorisant la créativité des collaborateurs ?

72% des collaborateurs estiment que leur réussite au travail dépend de leur capacité à être créatif. Pour répondre aux attentes des collaborateurs de votre entreprise tout en bénéficiant d’une gestion simplifiée de votre parc informatique nous vous proposons de vous faire découvrir une nouvelle façon de gérer votre IT de façon plus intégrée et plus sécurisée. En effet avec les dernières offres Microsoft on constate une réduction de 20% du temps dédié à la gestion informatique.

Microsoft vous présentera une démonstration de l’intégration d’un employé du premier allumage de son PC à son utilisation des outils de bureautique.

Vous aurez la possibilité par la suite de regarder cette vidéo à la demande sur aka.ms/officecafe

Inscrivez-vous à cet épisode

Microsoft a mis à jour (v7.0) le célèbre outil Sysmon de SysInternals. Cette version apporte les changements suivants :

• Journalise les informations de version de fichiers
• Une option pour créer un dump d’un vieux schéma.
• Une option pour créer un dump de tout l’historique des schémas.

Télécharger Sysmon v7.0

L’équipe Exchange vient de publier le 8ème Cumulative Update (CU8) (15.01.1415.002) pour Exchange Server 2016. Microsoft a changé la stratégie d’assistance sur le cycle de vie d’Exchange ne nécessitant plus l’application des derniers Cumulative Update pour être supporté.

Ce correctif cumulatif ajoute :

• Le support de .NET Framework 4.7.1. Il est à noter que ce dernier commencera à être un prérequis à l’installation des correctifs cumulatifs à partir de Juin 2018.
• Le support de l’authentification moderne hybride.

Il apporte les changements suivants :

• Ce Rollup contient un correctif pour un problème important affectant la coexistence entre Exchange Server 2010 et Exchange Server 2016. Le guide de déploiement indique que lorsque ces versions sont déployées ensemble, les adresses IP privées des load balancers peuvent (doivent) être dirigées vers des serveurs exécutant Exchange Server 2016. Exchange Server 2016 se charger des appels proxy vers une version de serveur appropriée en fonction de l'emplacement de la boîte aux lettres à laquelle vous accédez. Une condition peut permettre aux appels EWS d'accéder à des boîtes aux lettres sur le serveur 2010 auxquelles un utilisateur ne devrait pas avoir accès.
• 4056329 Impossible d'accéder aux EWS à partir des add-ins Outlook/OWA via makeEwsRequestAsync dans Exchange Server 2016 et Exchange Server 2013
• 4054516 Erreur "Your request can’t" lors de l'accès à une boîte aux lettres d'archive via OWA dans Exchange Server 2016.
• 4055953 Le paramétrage du destinataire ne fonctionne pas pour les domaines frères dans Exchange Server 2016
• 4055435 Aucune interface réseau MAPI n'est trouvée après l'installation d'Exchange Server 2016 CU7
• 4056609 L’identifiant d’événement 4999 est généré et le service mailbox transport delivery ne démarre pas après l'installation du serveur Exchange Server 2016 CU7.
• 4045655 Description de la mise à jour de sécurité pour Microsoft Exchange: 12 décembre 2017
• 4057248 De nombreux rapports Watson pour StoragePermanentException dans Exchange Server 2016

Enfin, on retrouve un Changement de comportement en ce qui concerne la configuration des paramètres TLS et de cryptographie. Les mises à jour cumulatives précédentes écrasent la configuration existante d'un client. En raison des commentaires des clients, Microsoft a modifié le comportement du produit pour configurer les paramètres TLS et de cryptographie uniquement lorsqu'un nouveau serveur Exchange est installé. L'application d'une mise à jour cumulative n'écrasera plus la configuration existante du client.

Télécharger :

• Cumulative Update 8 for Exchange Server 2016 (KB4035145)
• Exchange Server 2016 CU8 UM Language Packs

On commence à voir fleurir des questions et problématiques sur les forums à propos de TLS 1.2 et la désactivation de SSL 3.0/TLS 1.0/1.1 avec System Center Configuration Manager.

Je souhaitais rappeler que le support de TLS 1.2 et la désactivation de SSL 3.0/TLS 1.0/1.1 n’est assuré qu’à partir de System Center Configuration Manager 1702 avec l’Update Rollup (KB 4019926).

Si vous utilisez une version antérieure et vous devez mettre à niveau cette version sur un environnement où les algorithmes précédents (SSL 3.0/TLS 1.0/1.1) ont déjà été désactivés, vous devez les réactiver !

Dans le cas contraire, vous rencontrerez des erreurs comme suit :

*** [08001][18][Microsoft][ODBC SQL Server Driver][Shared Memory]SSL Security error3000 (0x0BB8)

*** [01000][1][Microsoft][ODBC SQL Server Driver][Shared Memory]ConnectionOpen (SECCreateCredentials()).

*** Failed to connect to the SQL Server, connection type: SERVERNAME.DOMAIN MASTER.

*** [08001][18][Microsoft][ODBC SQL Server Driver][Shared Memory]SSL Security error

*** [01000][1][Microsoft][ODBC SQL Server Driver][Shared Memory]ConnectionOpen (SECCreateCredentials()).

*** Failed to connect to the SQL Server, connection type: SERVERNAME.DOMAIN.

Lire Comment activer TLS 1.2 sur System Center Configuration Manager ?

L’équipe Exchange vient de publier le 19ème Cumulative Update (CU19) (15.00.1365.001) pour Exchange Server 2013. Pour rappel, Microsoft a changé la stratégie d’assistance sur le cycle de vie d’Exchange ne nécessitant plus l’application des derniers Cumulative Update pour être supporté.

Ce correctif cumulatif ajoute :

• Le support de .NET Framework 4.7.1. Il est à noter que ce dernier commencera à être un prérequis à l’installation des correctifs cumulatifs à partir de Juin 2018.
• Le support de l’authentification moderne hybride.

Il apporte les changements suivants :

• 4046316 MAPI over HTTP ne peut pas supprimer les sessions client en temps opportun si l'utilisation d'OAuth et la ressource a un compte maître dans Exchange Server 2013
• 4046205 W3wp engendre une forte utilisation du CPU dans Exchange Server 2013
• 4046182 Les identifiants des événements 4999 ou 1007 sont générés en cas de plantages répétés du service de diagnostic dans Exchange Server 2013
• 4056329 Impossibilité d'accéder aux EWS à partir des add-ins Outlook/OWA via makeEwsRequestAsync dans Exchange Server 2016 et Exchange Server 2013
• 4045655 Description de la mise à jour de sécurité pour Microsoft Exchange : 12 décembre 2017

Enfin, on retrouve un Changement de comportement en ce qui concerne la configuration des paramètres TLS et de cryptographie. Les mises à jour cumulatives précédentes écrasent la configuration existante d'un client. En raison des commentaires des clients, Microsoft a modifié le comportement du produit pour configurer les paramètres TLS et de cryptographie uniquement lorsqu'un nouveau serveur Exchange est installé. L'application d'une mise à jour cumulative n'écrasera plus la configuration existante du client.

Télécharger :

• Cumulative Update19 for Exchange Server 2013 (KB4037224)
• Exchange Server 2013 CU19 UM Language Packs

L’équipe Exchange vient de publier le 19ème Rollup (KB4035162) pour Exchange Server 2010 SP3 (version 14.03.0382.000).

Ce Rollup contient un correctif pour un problème important affectant la coexistence entre Exchange Server 2010 et Exchange Server 2016. Le guide de déploiement indique que lorsque ces versions sont déployées ensemble, les adresses IP privées des load balancers peuvent (doivent) être dirigées vers des serveurs exécutant Exchange Server 2016. Exchange Server 2016 se charger des appels proxy vers une version de serveur appropriée en fonction de l'emplacement de la boîte aux lettres à laquelle vous accédez. Une condition peut permettre aux appels EWS d'accéder à des boîtes aux lettres sur le serveur 2010 auxquelles un utilisateur ne devrait pas avoir accès.

Télécharger Update Rollup 19 For Exchange 2010 SP3 (KB4035162)

Microsoft a mis à jour (v2.24) le célèbre outil Bginfo de SysInternals. Cette version corrige des régressions introduites dans la version 4.23.

Il est à noter que les fichiers bgi créés avec la version v4.23 ne sont pas compatibles avec cette version.

Télécharger Bginfo v2.24

Après la version pour 2012 R2, voici celui pour System Center Orchestrator 2016. Dirk Brinkmann (MSFT) avait signalé dans un article le problème survenant après l’application de l’Update Rollup 4.  Microsoft vient de publier un correctif (7.3.185). En effet, il s’avère qu’après la mise à jour le service Runbook ne démarre pas. Le problème provient lors de la connexion à la base de données. L’outil DataStore Configuration n’utilise plus les mêmes librairies SQL que dans la version précédente.

On retrouve deux solutions :

• Installer le correctif ci-dessous (7.3.185) 
• Installer SQL 2012 SP4 Native Client. Si vous avez une version du client SQL supérieure, vous ne rencontrerez pas de problème.

Plus d’informations sur la KB

Télécharger Hotfix for Microsoft System Center Orchestrator 2016 UR4 (KB4058492)

Source : https://blogs.technet.microsoft.com/germanageability/2017/11/14/quick-note-runbookservice-might-fail-to-start-after-applying-system-center-orchestrator-2016-ur4/

Microsoft a publié des ressources permettant de vous accompagner dans le projet d’implémentation de Microsoft Teams. On retrouve les différentes phrases du projet :

• Le Kick Off
• La priorisation des scénarios métiers
• La planification technique
• La mise en œuvre du pilote et le déploiement
• La mesure de l’usage, la gestion de la satisfaction et l’adoption.

Parmi les ressources, on retrouve un fichier Word comprenant les grandes étapes et une question ainsi qu’un PowerPoint avec l’ensemble des éléments à prendre en compte.

Télécharger :

• Quick start: Successfully enabling Microsoft Teams
• Workshop: Plan, Deliver, & Operate Microsoft Teams

Avec chaque version de Windows, la supportabilité des nouveaux ou des anciens processeurs peut se poser. C’est aussi vrai d’une version de Windows 10 à l’autre.

Par exemple, Windows 10 1703 supporte jusqu’aux processeurs Intel de Génération 7 (Intel Core i3/i5/i7/i9-7xxx, Core m3-7xxx, et Xeon E3-xxxx v6), et la 8^ème Generation (Intel Core i7-8xxxU) et AMD de génération 7 (A-Series Ax-9xxx & E-Series Ex-9xxx & FX-9xxx), et AMD Ryzen 3/5/7 1xxx.. Pour la version 1709, elle supporte jusqu’aux processeurs Intel de Génération 8 (Intel Core i3/i5/i7-8xxx) et AMD de génération 7 (A-Series Ax-9xxx & E-Series Ex-9xxx & FX-9xxx), et AMD Ryzen 3/5/7 1xxx.

Pour suivre ces évolutions, on retrouve l’article : Windows Processor Requirements

Le portail Microsoft Azure est un portail complet avec l’ensemble des éléments relatifs aux solutions Cloud de Microsoft : Azure AD, IaaS, Microsoft Intune, etc. Pour faciliter l’accès à des ressources précises, Microsoft a créé des liens courts :

• http://aka.ms/Intuneconsole redirige sur la vue Overview du portail Microsoft Intune dans Microsoft Azure.
• http://aka.ms/mamconsole redirige sur la vue Overview du portail de gestion des applications Mobiles Intune dans Microsoft Azure
• http://aad.portal.azure.com redirige vers le portail Azure Active Directory.
• https://aka.ms/SSPRSetup redirige sur la page de configuration de la récupération du mot de passe en libre-service.
• http://aka.ms/azureadpdeploy permet de configurer les fonctionnalités Azure Active Directory Premium.
• https://aka.ms/aadconnectpwsync redirige sur la page de configuration de l’annuaire Office 365.

Microsoft IT a publié un article sur la gestion des mises à jour logicielles et la conformité associée avec System Center Configuration Manager. Le modèle décrit peut-être reporté pour d’autres entreprises afin d’assurer un bon niveau entre la sécurité et l’expérience utilisateur associée.

Microsoft IT gère plus de 360 000 postes de travail avec 250 000 utilisateurs sur une hiérarchie avec un CAS, 6 sites primaires et 13 sites secondaires. Microsoft utilise les règles de déploiement automatique (ADR) pour distribuer les mises à jour, en créant un groupe de mises à jour logicielles par mois.

Parmi les bonnes pratiques, on retrouve :

• Pour assurer la sécurité et la fiabilité de votre environnement, assurez-vous d'avoir un processus proactif bien défini pour le déploiement des mises à jour logicielles et fixez un objectif de conformité aux mises à jour logicielles.
• Établir un processus pour surveiller les machines non conformes et prendre les mesures nécessaires pour installer toutes les mises à jour requises régulièrement.
• Comme le déploiement de logiciels exige beaucoup d'efforts, essayez d'automatiser autant que possible pour réduire le temps de déploiement des mises à jour et des erreurs humaines.
• Passez en revue les notes de mise à jour du patch et assurez-vous de prendre toutes les actions supplémentaires nécessaires en plus d'installer la mise à jour de sécurité.
• Lorsque vous avez plus d'un Software Update Point sur un site primaire, utilisez la même base de données WSUS pour Software Update Point. Comme chaque changement de temps dans le serveur WSUS déclenchera l'analyse complète, essayez d'éviter de changer les urls du serveur WSUS et la base de données.
• Mieux vaut créer un nouveau groupe de mise à jour du logiciel pour chaque mois afin d'empêcher le déploiement de dépasser la limite des mises à jour logicielles par déploiement.
• En stockant vos mises à jour des années précédentes dans un groupe de mises à jour logicielles statique, ceci vous aidera à gérer les mises à jour plus facilement et à réduire la charge sur les serveurs et les clients.
• Effectuez le nettoyage de la base de données WSUS régulièrement et périodiquement en supprimant les mises à jour expirées et le contenu des déploiements pour maintenir une petite taille des métadonnées de mise à jour du logiciel afin d'augmenter les performances du serveur et réduire le temps d'analyse.
• Passez périodiquement en revue vos paramètres ADR et vos produits/catégories.
• Utilisez des groupes de validation pour vous assurer que les mises à jour de sécurité n'affectent pas négativement l'entreprise.
• Assurez-vous que les utilisateurs sont conscients de l'importance de sécuriser l'environnement, et communiquez chaque mois avec les utilisateurs au sujet de patch Tuesday.
• Créez des rapports appropriés pour confirmer le déploiement réussi des correctifs et vérifier qu'il n'y a pas d'impact négatif.

Outre ces aspects, on apprend que Microsoft possède trois modes de déploiement :

• Le service complet qui prend en compte l’application des mises à jour sans avoir énormément d’actions de la part de l’utilisateur
• La mise à jour à la demande (Manuel) où le groupe est responsable de mettre à jour lui-même la machine.
• La mise à jour via des fenêtres de maintenance.

Lors du processus, Microsoft commence par déployer les mises à jour de manière totalement silencieuse sans générer de redémarrage. Ceci permet d’améliorer l’expérience utilisateur. La date butoir est fixée deux heures après la date de mise à disponible. Microsoft se base entièrement sur le redémarrage naturel des utilisateurs ou les périodes de maintenance, ce qui représente pas moins de 70% des machines. Après 6 jours, Microsoft convertit le déploiement pour interagir avec l’utilisateur afin de générer des notifications. Le déploiement ne supprime plus le redémarrage et le force au bout de 2 jours. Dans le même temps, Microsoft approuve aussi les mises à jour directement dans WSUS pour que les machines puissent récupérer les patchs soit à partir de SCCM soit à partir de WSUS.

Pour les mises à jour hors cycle, Microsoft effectue une première phase d’une journée avec des interactions utilisateur. Au bout de la première journée, une date butoir est fixée dans les 24 heures. Ceci permet d’atteindre un taux de 97,29% dans les 10 jours qui suivent le démarrage du déploiement.

Je vous recommande vivement de lire l’article en détails : How we do it: Manage and exceed security update compliance

Depuis plusieurs années, je profite de ce billet sur les vœux pour faire un bilan de l’année. Microsoft continue sa transformation ! Microsoft ne voit plus que le monde Windows et s’ouvre à Linux, Mac, Android, iOS, etc.

Sur la partie gestion des périphériques, Microsoft a continué le travail initié sur System Center Configuration Manager en proposant des fonctionnalités directement remontées par la communauté. Ainsi, on a pu voir arriver les séquences de tâches imbriquées, etc. Il est impressionnant de voir le nombre de fonctionnalités intégrées en moins d’un an, le nombre de clients qui ont migrés sur System Center Configuration Manager Current Branch et de voir l’euphorie à chaque sortie de version. Ce fut aussi l’occasion de rappeler que ConfigMgr avait 25 ans. Cette année marque aussi l’arrivée du Co-Management pour commencer cette transition vers la gestion moderne.

En outre, Microsoft a complété la suite Enterprise Mobility + Security (EMS) en étendant sa solution à des solutions tierces. Les produits et solutions Microsoft sont de plus en plus intégrées pour offrir une expérience continue et Microsoft s’ouvre à d’autres plateformes (Citrix, Jamf, etc.)

D’un autre côté, la sécurité est toujours au cœur de la stratégie de Microsoft avec Windows 10, Windows Defender Advanced Threat Protection, Office 365 Advanced Threat Protection, EMS, etc. On retrouve notamment un focus important dans Windows 10 1709 avec Windows Defender Application Control, Windows Defender Application Guard, Windows Defender Exploit Guard, etc.

Me concernant, l’année 2017 est marquée par un renouvellement comme MVP Enterprise Mobility pour la 8^ème année. J’en ai profité aussi pour communiquer différemment avec vous au travers de vidéos. Enfin en novembre dernier, j’ai participé au Hackathon entre l’équipe System Center Configuration Manager et les MVPs lors d’un événement dédié. Vous avez pu voir de nombreuses fonctionnalités apparaitre dans la version 1712.

La communauté MicrosoftTouch continue son chemin. Vous avez pu notamment voir que la plateforme est passée en HTTPs pour offrir plus de sécurité.

En 2018, nous allons continuer de fournir toujours plus de connaissances en libre accès via cette plateforme. Je tiens d’ailleurs à remercier Christophe BOUCETTA, Florent APPOINTAIRE, Vincent BIRET, et Sylver SCHORGEN pour leur participation à cette plateforme. Pour rappel, nous ne touchons aucune rémunération (publicités, partenaires, etc…) pour le travail fourni afin de garder une indépendance impartiale. Nous accueillons bien entendu toute personne qui souhaiterait participer à l’aventure tout en respectant les valeurs que nous mettons en avant.

Je me permets de vous faire passer mes meilleurs vœux pour cette année 2018. Je vous souhaite beaucoup de réussite personnelle et professionnelle.

Stay Tuned !

Paul Bergson (PFE) a rédigé un article synthétique mais très complet présentant les nouveautés introduites en matière de sécurité dans Windows 10 1709 (Fall Creators Update). Il aborde notamment :

• Windows Defender Application Guard (WDAG) permettant d’isoler Microsoft Edge dans un environnement conteneurisé. Ceci évite qu’un logiciel malveillant qui exécute du code à partir du navigateur puisse se propager au système. Cette fonctionnalité nécessite Hyper-V pour fonctionner et par conséquent le matériel adéquat.
• Windows Defender Exploit Guard (WDEG) est l’équivalent d’Enhanced Mitigation Experience Toolkit directement inclus dans Windows 10. Il permet de se protéger contre certaines techniques communément utilisées pour l’exploitation de vulnérabilités. Cette solution de type Host Based Intrusion Prevention System (HIPS) s’intègre au Microsoft Intelligent Security Graph pour réduire la surface d’attaque avec des règles intelligentes.

 Lire Security Updates from the Win10 Fall Creators Update