Microsoft a publié une série de billets visant à détailler les nouveautés apportées par Windows Server 1709. Les billets réexpliquent notamment le concept de Semi-Annual Channel et Long-Term Servicing Channel.

On retrouve notamment des éléments sur :

• L’innovation d’applications avec Nano Server, NET Core, Docker
• La sécurité
• Le Software Defined Datacenter
• La nouvelle interface d’administration en mode web

Lire :

• Sneak peek #1: Windows Server, version 1709
• Sneak peek #2 Windows Server, version 1709 hyper-converged infrastructure
• Sneak peek #3: Windows Server, version 1709 for developers
• Sneak peek #4: Introducing Project “Honolulu”, our new Windows Server management experience

Dirk Brinkmann (MSFT) a publié une information relativement intéressante sur System Center Operations Manager (SCOM) et les tableaux de bord qui utiliseraient éventuellement les éléments graphiques de la librairie de visualisation SQL Server.  La version 6.6.7.6 du Management Pack offre une règle appelée “DW data early aggregation” qui lorsqu’activée, permet d’améliorer le chargement des tableaux de bord. Les données des tableaux de bord SQL Server, sont récupérés depuis le Data Warehouse et peuvent prendre un temps important à se charger.

Jusqu’à maintenant, il était possible de mettre à jour les procédures stockées à la main via les commandes suivantes :

USE [OperationsManagerDW]

EXECUTE [sdk].[Microsoft_SQLServer_Visualization_Library_UpdateLastValues]

EXECUTE [sdk].[Microsoft_SQLServer_Visualization_Library_UpdateHierarchy]

Depuis la version 6.6.7.6, c’est la règle “DW data early aggregation” qui permet d’exécuter ces procédures stockées. La règle est désactivée par défaut et peut être activée avec un intervalle que vous souhaitez définir (toutes les 8 heures par exemple)

Plus d’informations sur : Quick note: Speeding up OpsMgr dashboards based on the SQL visualization library

Microsoft vient de publier une mise à jour (3.1.250) de Mouse and Keyboard Center. Anciennement IntelliPoint IntelliType Pro, cet outil permet de personnaliser la façon dont vous travaillez avec votre PC et vos périphériques Clavier et Souris Microsoft.

Télécharger Mouse and Keyboard Center 3.1

En juin dernier, Microsoft a annoncé le support de TLS 1.2 par les produits que l’entreprise propose. Le but est de permettre de s’affranchir des dépendances avec TLS 1.0/1.1. Le support de TLS 1.1 et 1.2 par Windows Server 2008 est effectif depuis le 18 juillet. C’est la mise à jour KB4019276 qui apporte le support.

Voici le calendrier de publication :

• 18 juillet 2017 : Publication sur le catalogue Microsoft
• 15 août 2017 : Publication sur Windows Update/WSUS avec une classification optionnelle
• 12 septembre 2017 : Publication sur Windows Update/WSUS avec une classification recommandée

Source : https://blogs.microsoft.com/microsoftsecure/2017/07/20/tls-1-2-support-added-to-windows-server-2008/

Microsoft a créé une vidéo de présentation du service Windows Analytics Update Compliance d’Operations Management Suite (OMS). Pour rappel, le service s’adresse à la gestion moderne des périphériques Windows 10 qui utilisent notamment Windows Update for Business (WUfB) ou Microsoft Update.

La solution donne des informations sur :

• L’état d’installation pour les mises à jour mensuelles de qualité et les mises à jour de fonctionnalité de Windows 10.
• L’état de déploiement des mises à jour existant avec la prévisualisation des mises à jour qui vont être déployées.
• Les périphériques qui nécessitent une attention pour résoudre des problèmes.

Microsoft a publié l’accès conditionnel pour macOS via Azure Active Directory et Microsoft Intune. L’accès conditionnel permet de gérer l’accès aux ressources de l’entreprise en fonction de conditions spécifiques de conformité : gestion du périphérique par Microsoft Intune, conformité vis-à-vis du mot de passe.

L’équipe Intune a rapporté un problème où l’état de conformité renvoyée par le macOS à Microsoft Intune est conforme bien que la stratégie de mot de passe ne le soit pas. Le problème est connu par Apple mais l’entreprise n’a pas fourni de date quant à la fourniture d’un correctif. Un Mac ne forcera pas le prérequis de mot de passe tant que l’utilisateur n’a pas changé son propre mot de passe. Il faut donc que vous vous assuriez que les utilisateurs changent le mot de passe de leur compte utilisateur.

Source : https://blogs.technet.microsoft.com/intunesupport/2017/08/24/support-tip-known-issue-in-macos-conditional-access-preview/

Microsoft a publié un billet qui explique comment les données sont sécurisées dans Azure Active Directory. Azure AD est l’annuaire de base de la majorité des services (Office 365, Microsoft Intune etc.). Il contient donc des informations critiques sur les clients et représente un maillon essentiel de la chaine. Le billet détaille une partie des mécanismes de sécurité mis en œuvre pour protéger la donnée :

• Le personnel du Datacenter Microsoft doit passer une vérification de ses antécédents.
• Les datacenters sont bien entendu régulés et les entrées/sorties sont surveillées.
• Les services Azure AD sont verrouillés dans des salles et des racks spécifiques qui sont bien entendu surveillés 24 heures sur 24.
• Lors du décommissionnement d’un serveur, tous les disques sont détruits logiquement et physiquement.
• Microsoft limite le nombre de personnes qui ont accès au service Azure AD et ils interviennent sans les privilèges puisque ces derniers sont attribués à la demande puis retirés automatiquement. Lors de la connexion, les opérateurs doivent s’authentifier avec un facteur supplémentaire. Ils accèdent au service via des stations de travail d’administration qui suivent les recommandations Privileged Access Workstation. Les postes de travail utilisent une image fixe avec des logiciels qui sont ciblés et gérés.
• Microsoft a quelques comptes spécifiques « break glass » (moins de 5). Ces comptes sont réservés pour les cas d’urgence spécifiques avec une procédure d’acquisition à plusieurs étapes. Les comptes sont supervisés et lèvent des alertes lors de l’utilisation.
• En outre, Microsoft effectue une détection de menaces avec la détection des brèches, des tests de pénétration, d’audit.
• L’ensemble des données sont chiffrées avec BitLocker.
• Au niveau des API, les données chiffrées avec HTTPS et un principe d’autorisation par Token pour chaque tenant. Les APIs internes utilise des authentifications client/serveur avec des certificats de confiance et une chaine de validation.

Plus d’informations sur : How we secure your data in Azure AD

Kacey Krehbiel (responsable des déploiements de mise à niveau chez Microsoft) a publié un billet qui vise à expliquer comment Microsoft IT a optimisé la mise à niveau du système d’exploitation des machines distantes connectées par VPN ou DirectAccess. Microsoft IT utilise System Center Configuration Manager et les séquences de tâches de mise à niveau (Operating System Upgrade Task Sequence). Ceci est dû à des contraintes qui ne permettent pas d’utiliser Windows 10 Servicing.

Microsoft possède une population très mobile et par conséquent la mise à niveau peut devenir problématique dans ces cas précis. Kacey détaille les éléments mis en œuvre pour optimiser le processus :

• Utilisation de la fonctionnalité en preview permettant de pré-télécharger le contenu de la séquence de tâches
• Design de la séquence de tâches de manière à limiter le nombre de tâches puisque pour chaque tâche exécutée, la séquences de tâches renvoie des mises à jour d’état. En outre, ils ont mis en place une priorisation des tâches.
• Mise en place d’un Reporting pour permettre de valider la connectivité distante.

Pour en apprendre plus, je vous invite à lire : Optimizing Operating Systems Upgrades for Remotely Connected Clients

Microsoft va proposer un événement de questions/réponses sur le service Azure Log Analytics d’Operations Management Suite (OMS). Cet évènement aura lieu le jeudi 21 Septembre de 18h à 19h (heure française). Ask Microsoft Anything est une belle opportunité pour poser des questions sur Azure Log Analytics et le traitement des journaux en obtenant une réponse directe.

Vous devez être membre de Tech Community pour poster vos questions via l’adresse : https://techcommunity.microsoft.com/t5/Azure-AMA/bd-p/azure-ama

Pour s’inscrire : https://aka.ms/azureloganalyticsama/invite

Vous utilisez System Center Configuration Manager 1610/1702/1706 pour mettre à niveau votre système d’exploitation vers Windows 10 à partir d’une version antérieure (Windows 7, 8.1 ou Windows 10). Dans ce scénario, la mise à niveau peut échouer au premier redémarrage et faire un retour arrière lorsque vous utilisez la variable de séquence de tâches SMSTSPostAction.

Le problème survient lorsque vous paramétrez la variable en début ou au milieu de la séquence de tâches avec l’étape : set task sequence variable. Le problème survient quelle que soit l’action spécifiée.

Le fichier setupact.log affiche l’erreur :

CApplyWIM: Failure while opening image file :\_SMSTaskSequence\Packages\TP1011D7\Sources\Install.wim. Error 0x80070003[gle=0x00000003]

Microsoft essaye d’identifier le problème. Dans l’immédiat, vous pouvez spécifier l’étape set task sequence variable en fin de séquence de tâches.

Dave Randall (Senior PM - Intune - MSFT) a publié un billet qui présente le modèle de délégation RBAC (Role Based Access Control) introduit dans le nouveau portail Intune. Outre la présentation du fonctionnement de RBAC, Dave revient sur la configuration de bout en bout en :

• Attribuant un rôle d’administrateur limité (Intune service Administrator)
• Attribuant les rôles Intune adéquats
  • Policy and Profile Manager.
  • Application Manager.
  • Helpdesk Operator.
  • Read Only Operator
• Attribuant la licence Intune nécessaire pour la gestion.
• Assignant des groupes de périphériques ou d’utilisateurs

Enfin, le billet détaille la matrice des permissions pour les différents rôles :

• AAD Global Administrator
• AAD Intune Service Administrator
• Full Service Administrator (Console Silverlight)
• Policy and Profile Manager.
• Application Manager.
• Helpdesk Operator.
• Read Only Operator
• Role Administrator

Je vous invite à lire : Using the New Role Based Access Controls in Intune

Dirk Brinkmann (MSFT) a publié un billet concernant un problème sur la vue Tune Management Packs présente dans System Center 2016 Operations Manager. Cette vue permet d’optimiser les Management Packs. Dans System Center 2016 Operations Manager Update Rollup 3 et versions antérieures, la vue peut crasher. Lors de son affichage, vous voyez un début de liste, puis des lignes blanches et un grand carré noir.

Ceci survient dans le scénario suivant :

• Si vous avez supprimé un Management Pack du Management Group.
• Le Management Pack supprimé avait généré des alertes.

Dans ce scénario, la vue plante car la requête associée, liste des alertes dans le Data Warehouse pour ce Management Pack qui n’existe plus. Deux solutions :

• Attendre le processus de rétention inclus qui nettoiera les alertes en fonction du DataSet associé (180 jours par défaut).
• Réduire le temps de rétention des alertes dans le Data Warehouse pour que le processus de nettoyage fonctionne avant le délai par défaut de 180 jours. Dans ce cas, le problème c’est que vous perdez tout l’historique des données pour les autres Management Packs.

Un correctif devrait arriver prochainement au travers d’un Update Rollup.

En attendant, vous pouvez lire le billet pour obtenir plus d’informations : https://blogs.technet.microsoft.com/germanageability/2017/08/19/issue-with-the-tune-management-packs-view-in-scom-2016/

Microsoft a lancé un sondage à destination des entreprises concernant Windows 10 et le processus d’obtention matériel et de provisionnement du périphérique.

Répondre au sondage :https://aka.ms/provision_survey

Microsoft a publié un document détaillant les différentes technologies de chiffrement utilisées dans le Cloud de Microsoft. Le document revoit l’ensemble des services :

• Azure Disk Encryption
• Azure Storage service Encryption
• Azure Key Vault
• Office 365
• Azure Rights Management
• Microsoft Dynamics 365

Pour en apprendre plus sur le chiffrement, vous pouvez lire : Encryption in the Microsoft Cloud

L’équipe du support Microsoft Intune a publié un billet sur les problèmes de migration de tenants vers le portail Azure, auxquels des clients font face. Plusieurs tenants ont rencontré des problèmes de hashs de certificats après avoir été migrés. La migration a été suspendue pour ces entreprises. Le problème c’est qu’elle doit regénérer toutes les stratégies PFX.

Normalement, vous avez été notifié à partir du 22 août au travers de l’Office Message Center avec une alerte Regenerate certificates issued using the Intune Certificate Connector to unblock your migration.

Pour ce faire, vous devez :

• Vous connecter à http://manage.microsoft.com et naviguez dans Policy puis Configuration Policies.
• Identifiez les stratégies de type PKCS #12 (.PFX) et cliquez sur Edit.
• Ajoutez une mention « updated <date> dans la description et sauvegardez la stratégie.
• Répétez l’opération sur toutes les stratégies.

Il est possible que des utilisateurs puissent être notifiés pour entrer l’utilisateur et le mot de passe. Les utilisateurs Android qui utilisent des PFX et l’authentification username/password peuvent avoir besoin de réinstaller les identifiants de sécurité.

Plus d’informations sur : https://blogs.technet.microsoft.com/intunesupport/2017/08/22/pfx-certificates-issued-using-the-intune-certificate-connector-fix-your-intune-migration-configuration-issues/

Microsoft vient de mettre à jour deux outils permettant l’évaluation et l’optimisation des machines virtuelles hébergées dans Microsoft Azure. On retrouve :

• Microsoft Azure Virtual Machine Readiness Assessment permet l’évaluation des environnements On-premises Active Directory, SQL Server, ou SharePoint afin d’être migrés vers Microsoft Azure.
• Microsoft Azure Virtual Machine Optimization Assessment inspecte les machines virtuelles dans Microsoft Azure afin de voir les éléments d’optimisation possibles (coûts, etc…)

Microsoft a annoncé le support des périphériques SATA-connected Disk-on-Modules (SATADOM) comme disque de démarrage principal pour Windows Server 2016 Long-Term Servicing Branch (LTSC) ou Semi-Annual Channel releases. Les modules SATADOM permettent d’obtenir des I/Os importants tout en réduisant le coût et l’énergie nécessaire.

Vous pouvez trouver la liste des périphériques compatibles sur Windows Server Catalog,

Il est recommandé de réaliser des tests sur ces périphériques dans les configurations clusterisées via des tests device.storage et Private Cloud Simulator.

Plus d’informations sur : https://blogs.technet.microsoft.com/windowsserver/2017/08/30/announcing-support-for-satadom-boot-drives-in-windows-server-2016/

Vous pouvez rencontrer un problème sur System Center Configuration Manager 1702 avec l’état de distribution du contenu sur des points de distribution. Celui-ci est en effet erroné et peut renvoyer des informations négatives. Par exemple, le chiffrement de distribution en cours peut être négatif. Ce problème a normalement été corrigé dans le Hotfix publié pour Configuration Manager 1702 ainsi que dans la version suivante 1706.

Si vous rencontrez ce problème, vous pouvez soit installer le Hotfix soit la nouvelle version.
Vous pouvez aussi exécuter la procédure stockée suivant dans la base de données :

exec spRebuildContentDistribution 1

Il peut y’avoir d’autres raisons :

• Il peut y’avoir une latence de ce type dans une hiérarchie avec un CAS.
• Cela peut survenir lorsque les déclencheurs imbriqués (Nested Trigger) dans SQL Server sont désactivés : https://blogs.technet.microsoft.com/umairkhan/2014/10/02/the-case-of-the-unexplained-the-package-gets-distributed-successfully-but-does-not-show-in-the-console/

Seth Price (PFE – Microsoft) a publié un très bon billet sur l’automatisation de la collecte des fichiers de journalisation du client System Center Configuration Manager. Comme vous le savez, les fichiers de journalisation sont les meilleurs amis de l’administration ConfigMgr pour pouvoir dépanner toutes les fonctionnalités (Inventaire, stratégie, mises à jour, etc.). Il fournit une solution permettant de collecter les fichiers de journalisation (Windows\CCM\Logs) et les fichiers de journalisation d’installation (Windows\CCMetup\logs). La solution utilise la gestion de conformité et de paramétrages pour copier les journaux dans des partages.

Pour plus d’informations, je vous invite à lire son billet : Automating the Collection of Configuration Manager Client Logs

Certaines entreprises observent un crash du service Site Component Manager sur System Center Configuration Manager 1706 pour la version avec l’identifiant du package (GUID) : b7700d5c-d16f-40da-bb0d-a8c5a90822b9. Le fichier sitecomp.log renvoie l’erreur : "A pure virtual function was called. Fatal error, cannot continue."

Vous observez les événements suivants :

The component raised an exception but failed to handle it and will be stopped immediately.

  Component name: SMS_SITE_COMPONENT_MANAGER

 Executable: \Program Files\Microsoft Configuration Manager\bin\x64\sitecomp.exe

 Process ID: 34232

 Thread ID: 22224

 Instruction address: 7FE53C58

 Exception code: EEEEFFFF (EXCEPTION_SMS_FATAL_ERROR)

 Additional information: A pure virtual function was called. Fatal error, cannot continue.

Un correctif sera publié prochainement par Microsoft. Dans l’immédiat, vous pouvez exécuter la requête suivante sur la base de données :

DECLARE @ssrsSiteSystem NVARCHAR(256)

DECLARE @ssrsCurrentVersion NVARCHAR(256)

-- this is the FQDN of the site system running SSRS site system role

SET @ssrsSiteSystem = N'<replace with FQDN>' -- e.g. N'sitesystem.runningSSRS.com'

-- this is the current version stored in registry indicating SSRS current version

-- registry value location: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SMS\SRSRP\Version

SET @ssrsCurrentVersion = N'<replace with version from registry above>' --e.g N'13.0.4206.0'

IF EXISTS (SELECT * FROM vSMS_SC_SysResUse WHERE rolename=N'SMS SRS Reporting Point' )

AND EXISTS (SELECT * FROM CM_UpdatePackages WHERE STATE=196612 AND PackageGuid IN (N'b7700d5c-d16f-40da-bb0d-a8c5a90822b9', N'ABB97C8D-81E2-4D97-85CD-26FF3C561058'))

BEGIN

    IF EXISTS (SELECT * FROM vSMS_SC_SysResUse WHERE rolename=N'SMS SRS Reporting Point' AND ServerName = @ssrsSiteSystem)

    BEGIN

        -- CHECK if the SSRS version saved in Site control table is correct

        -- UPDATE the value to be consistent with the value from the registry on the SSRS site system machine

        --SELECT srs.ServerName, prop.Value2 FROM SC_SysResUse_Property prop

        UPDATE prop SET prop.Value2 = @ssrsCurrentVersion FROM SC_SysResUse_Property prop

        INNER JOIN vSMS_SC_SysResUse srs ON prop.SysResUseID = srs.ID

        WHERE srs.rolename=N'SMS SRS Reporting Point'

        AND prop.Name=N'Version'

        AND ServerName = @ssrsSiteSystem

        PRINT 'successfully update the Site control table. please restart SMS_SITE_COMPONENT_MANAGER.'

    END

    ELSE

    BEGIN

        PRINT 'There is no SSRS site system role installed on the site system, please double check the input'

    END

END

ELSE

BEGIN

    PRINT 'The script is NOT applicable to this environment'

END

Redémarrez ensuite le service SMS_SITE_COMPONENT_MANAGER.

Note : Sauvegardez la base de données avant d’exécuter la requête.

Source : https://social.technet.microsoft.com/Forums/en-US/54d5a139-a4b1-4cb5-9644-2b826c4b56eb/site-component-manager-crashing-once-per-hour-after-upgrade-to-1706?forum=ConfigMgrCBGeneral

Microsoft va proposer un événement de questions/réponses sur les services Windows Analytics de Windows 10. Cet évènement aura lieu le mardi 19 Septembre de 18h à 19h (heure française). Ask Microsoft Anything est une belle opportunité pour poser des questions sur Upgrade Readiness, Update Compliance, Device Health avec une réponse directe.

Vous devez être membre de Tech Community pour poster vos questions via l’adresse : http://aka.ms/community/Windows10

Pour s’inscrire : https://techcommunity.microsoft.com/t5/Windows-10/bd-p/Windows10space

Source : https://blogs.technet.microsoft.com/windowsitpro/2017/09/07/ask-microsoft-anything-about-windows-analytics-september-19th/

Apple s’apprête à publier iOS 11, Microsoft vient de confirmer le support de cette version par Microsoft Intune et System Center Configuration Manager (1702 et 1706). Il n’y a pas de problèmes connus et l’ensemble des fonctionnalités MDM et MAM sont compatibles. Microsoft a mis à jour ses applications comme Office pour que les scénarios continuent de fonctionner :

• Outlook 2.37
• OneDrive 9.1
• OneNote 16.4
• Word, Excel, PowerPoint 2.4
• Visio Viewer 1.8
• Teams 1.0.18
• Managed Browser 1.2.5
• Skype for Business 6.17.2
• Power BI 14.0
• Yammer (Mise à jour attendue mi-septembre)
• Dynamics CRM (Mise à jour attendue en octobre)

Note : Microsoft ne mettra pas à jour l’application Outlook Groups pour supporter iOS 11.

iOS 11 change la façon dont la fonctionnalité « Open In app filtering » fonctionne. Les applications MAM Intune chiffreront les fichiers avant de transférer les données vers une application non gérées.

Microsoft demande :

• La mise à jour du portail d’entreprise (publiée en août)
• La mise à jour de vos applications encapsulées avec la version 7.1.3 de l’app wrapper et du SDK. Note : Microsoft désactive la fonctionnalité Drag and Drop d’iOS 11 pour les applications MAM jusqu’à qu’ils mettent en œuvre une solution de conteneur.
• La vérification de la compatibilité de vos applications avec l’éditeur

Source : https://blogs.technet.microsoft.com/intunesupport/2017/09/12/support-tip-intune-support-for-ios-11/

Microsoft a publié des vidéos permettant d’appréhender la création d’architecture pour des applications Cloud distribuées. Les vidéos détaillent les technologies et les meilleurs modèles cloud à utiliser. Les sujets suivants sont abordés :

• Orchestrators
• Containers
• Configuration
• Leader election
• Partitioning
• Data consistency
• Transactions
• Load balancers

Les vidéos sont disponibles sur :

• YouTube
• org

Microsoft vient mettre à disposition la Preview du portail d’entreprise pour les périphériques macOS gérés via la gestion des périphériques mobiles de Microsoft Intune couplée ou non avec System Center Configuration Manager. Le portail offre deux capacités :

• Enregistrer le périphérique dans la solution d’administration ainsi que renommer et supprimer le périphérique.
• Gérer l’accès conditionnel en évaluant la conformité via Microsoft Intune.

L’application est à destination de macOS 10.11 et plus.

Télécharger Microsoft Intune Company Portal for macOS

Avec la sortie de System Center Configuration Manager 1706, cette version apporte son lot de nouveautés. Je vous propose de faire un tour d’horizons des fonctionnalités via une vidéo que j’ai publié sur Channel 9.