En août dernier, Microsoft annonçait l’arrivée d’une nouvelle édition de Windows 10 qui arrivera avec Fall Creators Update. Windows 10 Pro for Workstations est une version enrichie de Windows 10. Elle comprend certaines fonctionnalités proposées habituellement dans Windows Server. Ce repositionnement est dû au changement de licence et de prix de Windows Server 2016. Windows 10 Pro for Workstations offre une solution idéale pour les grosses stations de travail ou les entreprises qui souhaiteraient offrir certains services sur des petits serveurs sur des sites distants.

Parmi les éléments supplémentaires, on retrouve le support de :

• Intel Xeon et AMD Opteron
• Jusqu’à 4 CPUs (Aujourd’hui 2 CPUs)
• Jusqu’à 6 TB de mémoire (Aujourd’hui 2TB)
• Resilient File System (ReFS) pour fournir une résilience de données et gérer de larges volumes de données.
• Modules de mémoire non volatiles (NVDIMM-N) afin de lire et d’écrire des fichiers le plus vite possible.
• SMB Direct pour faciliter les transferts entre les PCs et serveurs pour de nombreuses données tout en limitant l’impact sur la latence et l’usage CPU.

Source : https://blogs.windows.com/business/2017/08/10/microsoft-announces-windows-10-pro-workstations/

Microsoft a annoncé la sortie des composants additionnels (add-ins) pour Outlook sur Android. Ces derniers étaient déjà disponibles pour iOS et permettent d’amener vos applications favorites (comme Trello, Dynamics 365, Nimble, etc.) dans Outlook. Très intéressants pour les utilisateurs, ces composants posent la problématique de la gestion de la donnée pour l’entreprise. En effet, l’utilisateur peut être amené à copier de la donnée depuis Outlook vers des applications non gérées.

Si vous utilisez des stratégies de gestion des applications mobiles (MAM), vous devez travailler avec vos administrateurs Exchange pour désactiver l’accès aux composants additionnels. Il faut pour cela qu’il désactive les rôles « My Marketplace Apps » et « My Custom Apps ».

Plus d’informations sur : https://aka.ms/android_add-ins

Je vous en parlais il y a quelques semaines, Microsoft vient de le correctif qui permet de gérer le scénario de doubles scans par les clients Windows 10 à partir de la version 1607.

Pour rappel, Microsoft a introduit un nouveau paradigme de gestion des mises à jour basé sur la gestion moderne. Le but est d’utiliser Windows Update for Business pour déployer les mises à jour sans avoir à valider les mises à jour individuellement mais en choisissant un délai d’application.

Le double scan (Dual Scan) a été introduit par Microsoft car de nombreuses entreprises souhaitaient pouvoir bénéficier de cette gestion moderne tout en permettant la mise à jour d’applications tierces via une infrastructure WSUS existante. Microsoft a donc introduit un double scan à partir de la version 1607 pour permettre de gérer les mises à jour des produits Windows par Windows Update for Business tout en assurant la mise à jour de composants tiers (par exemple Adobe, etc.) via WSUS et Configuration Manager. En gros, ce comportement est directement ciblé aux entreprises qui utilisent System Center Updates Publisher (SCUP) pour mettre à jour les produits tiers. Ainsi la double analyse a lieu lorsque l’entreprise configure les paramétrages Windows Update for Business (WUfB) via GPO ou MDM. 

Microsoft a publié la mise à jour cumulative d’août KB4034658 pour Windows 10 1607 qui permet d’ajouter la stratégie pour brider ce scénario : Do not allow update deferral policies to cause scans against Windows Update. Pour utiliser ceparamètre, vous devez soit le configurer localement soit utiliser des stratégies de groupe en chargeant les ADMX pour Windows 10 1709.

Voici les différents scénarios et quand activer la stratégie :

• Gérer les mises à jour Windows depuis Windows Update mais le contenu non Windows depuis WSUS : Ne pas activer la stratégie.
• Gérer les mises à jour Windows depuis WSUS et bloquer Windows Update. Vous pouvez activer la stratégie même si vous avez bloquer les communications avec Windows Update.
• Gérer les mises à jour Windows depuis Windows Update sans utiliser WSUS : Ne pas activer la stratégie.
• Gérer les mises à jour Windows depuis WSUS et les mises à jour supplémentaires avec Windows Update : Activer la stratégie.
• Gérer les mises à jour Windows depuis SCCM et les mises à jour supplémentaires avec Windows Update : Microsoft va publier des éléments sur ce sujet.

Microsoft travaille pour porter ce paramétrage dans Windows 10 1703. Ces derniers seront présents dans Windows 10 1709. Microsoft va bientôt permettre la gestion du paramétrage via le canal MDM.

Source : https://blogs.technet.microsoft.com/wsus/2017/08/04/improving-dual-scan-on-1607/

Microsoft s’attache à rendre tous ses produits compatibles avec TLS 1.2. Aujourd’hui, Microsoft a publié un article dans la base de connaissances pour détailler l’activation de TLS 1.2 sur System Center Configuration Manager. On retrouve plusieurs étapes :

1. Activer le protocole TLS 1.2 comme fournisseur de sécurité en configurant "\SecurityProviders\SCHANNEL\Protocols" comme dans TLS/SSL Settings.
2. Activer TLS 1.2 pour les composants dépendants
   • Vous devez mettre à jour le .NET Framework vers la version 4.6.2 afin d’apporter le support TLS 1.1 et 1.2.
   • Pour le .NET Framework 4.5.1 ou 4.5.2, il existe d’autres mises à jour. Il existe d’autres considérations de configuration de clés de registre.
   • Mettre à jour les composants SQL Server.
     • SQL Server 2016 supporte TLS 1.1 et 1.2.
     • Les anciennes versions doivent être mises à jour KB 3135244.
   • Mettre à jour Windows et WinHTTP :
     • Windows Server 2016 et Windows 10 supporte TLS 1.2
     • Les versions précédentes doivent se voir appliquer certaines mises à jour : KB 3140245
     • Vous devez valider que le paramétrage DefaultSecureProtocols à 0xAA0 dans HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp\

Côté Configuration Manager, voici les scénarios :

• Serveurs de site : Mettre à jour le .NET Framework et vérifier les paramétrages de chiffrement.
• SMS Provider : Mise à jour de SQL Server et les composants clients pour chaque SMS Provider
• Les rôles de système de site : Mise à jour du .NET Framework, de SQL Server et les composants clients et vérification des paramétrages de chiffrement.
• Service Connection Point et Application Catalog : Mise à jour du .NET Framework, et vérification des paramétrages de chiffrement.
• SQL Server Reporting Services : Mise à jour du .NET Framework sur le serveur de site et le serveur SSRS.
• Console d’administration : Mise à jour du .NET Framework, et vérification des paramétrages de chiffrement.
• Client SCCM avec des rôles de système de site HTTPS : Mise à jour de Windows pour supporter TLS 1.2.
• Software Center : Mise à jour du .NET Framework, et vérification des paramétrages de chiffrement.

Plus d’informations sur l’article : How to enable TLS 1.2 for Configuration Manager

Microsoft a publié de nouvelles fonctionnalités sur son service Cloud App Security. Pour rappel, ce service est une solution de découverte des services Cloud utilisés, d’évaluation des risques, de protection des données, et de protection contre les menaces.

Parmi les nouveautés, on retrouve :

• L’envoi automatique de tous les formats de journalisation pour l’analyse de découverte. Ceci permet de d’injecter des éléments provenant de SIEM ou d’autres outils.
• Voir et investiguer l’activité d’un utilisateur sur les application Cloud via une adresse IP.
• Microsoft a amélioré la visibilité sur les éléments Salesforces comme les leads, les comptes, les campagnes, les opportunités, les profils etc. L’administrateur peut créer des stratégies sur les objets afin de créer des alertes pour voir la visualisation d’un nombre important de pages de compte. Cette intégration se fait via le connecteur Salesforce avec activation de la fonctionnalité Salesforce Even Monitoring.
• La capacité de demander aux utilisateurs de se connecter à nouveau en cas de comportements suspicieux. Ceci peut se faire lors de la tentative d’accès à des fichiers depuis des emplacements non connus.

Sources : https://blogs.technet.microsoft.com/enterprisemobility/2017/08/10/update-on-new-cloud-app-security-discovery-investigation-and-threat-detection-features/

Microsoft a publié un ebook gratuit sur SQL Server 2017 et son utilisation sur Linux. Il détaille les 6 principales raisons qui peuvent vous convaincre de sauter le pas de SQL Server sur Linux : Flexibilité, Performance, Sécurité, Coût, Simplicité, et les fonctionnalités inclues.

Télécharger Why switch to SQL Server 2017 on Linux?

Une des nouveautés de System Center Configuration Manager 1706 est de permettre le blocage de l’enregistrement des périphériques personnels dits BYOD (Bring Your Own Device). Cette fonctionnalité est configurable pour les plateformes iOS et Android.  L’option Block personally owned devices rejette toute demande d’enregistrement pour des périphériques non connus.

Les périphériques doivent être pré-déclarés dans System Center Configuration Manager en naviguant dans Asset and Compliance > Overview > All Corporate-owned Devices > Predeclared Devices ou alors doivent être enregistrés via une jointure Azure Active Directory ou via le programme Apple Device Enrollment Program (DEP).

Ceux qui ont essayé la fonctionnalité lorsque la version 1706 est sortie, se sont rendus compte qu’elle n’était pas fonctionnelle. Vous pouviez cocher la case sans que celle-ci ne bloque véritablement les enregistrements de périphériques personnels. Ceci était dû à un changement en attente dans le service Microsoft Intune. Ce changement est effectif depuis le 16 août 2017.

Microsoft vient de mettre à disposition la Technical Preview 1708 (5.0.8549.1000) de System Center Configuration Manager. Pour rappel, ConfigMgr a subi une refonte de sa structure pour permettre des mises à jour aisées de la même façon que l’on peut le voir avec Windows 10. Si vous souhaitez installer cette Technical Preview, vous devez installer la Technical Preview 1703 puis utiliser la fonctionnalité Updates and Servicing (nom de code Easy Setup).

System Center Configuration Manager TP 1708 comprend les nouveautés suivantes :

Administration

• Une fonctionnalité Management Insights permet d’obtenir des informations sur l’état de l’environnement en fonction des données de la base de données. Depuis la partie Administration > Management Insights > All, vous pouvez voir :
  • Les applications sans aucun déploiement actif. Ceci permet de vous aider à nettoyer les applications.
  • Les collections sans membres.
• Une fonctionnalité qui permet de gérer les redémarrages des clients en obtenant l’état de redémarrage depuis la console et en lançant une action cliente de redémarrage. Le redémarrage utilise l’API du client ConfigMgr et affiche donc une fenêtre de notification. Pour l’instant l’état de redémarrage ne prend pas en compte les clés de registre extérieure au client mais ceci fait partie de la roadmap de Microsoft. Seul les actions et redémarrages initiés par le client ConfigMgr (applications, mises à jour, etc.) sont répertoriés.

• Il est possible d’ajouter des éléments de personnalisation de l’entreprise au Software Center comme le nom de l’entreprise, le thème de couleur, le logo de l’entreprise ou la visibilité des onglets. Cette configuration se fait depuis les paramétrages du client.

Mise à jour logicielles et conformité

• Arrivé il y a quelques Previews, la fonctionnalité de création et exécution des scripts PowerShell depuis la console ConfigMgr directement sur des collections se voit améliorer l’utilisation des paramètres. Microsoft détecte maintenant ceux qui sont obligatoires ou optionnels. L’utilisateur est invité à renseigner la valeur de ceux qui sont obligatoires

Plus d’informations sur : https://docs.microsoft.com/en-us/sccm/core/get-started/capabilities-in-technical-preview-1708

Avec l’arrivée de la Fall Creator Update, Microsoft prépare l’introduction de cette nouvelle version. La communication autour de chaque version de Windows 10 est aujourd’hui très tournée autour du consommateur. Les fonctionnalités d’entreprise manquent de visibilité au travers du programme Windows Insider. C’est d’ailleurs la raison pour laquelle, Microsoft a lancé Windows Insider for Business. Aujourd’hui, Microsoft annonce Windows Insider Lab for Enterprise (nom de code Olympia). Le but est de fournir un environnement fictif pour une entreprise virtuelle appelée Olympia afin d’essayer ces fonctionnalités (Windows Information Protection, ATP, Application Guard, etc.)

L’inscription se fait via un lien reçu dans la Newsletter Windows Insider de Septembre 2017.

Accéder à la FAQ

Pour s’inscrire, rendez-vous sur : https://insidersurveys.windows.com/s3/lab-for-enterprise

Plus d’informations sur : https://olympia.windows.com/

System Center Configuration Manager 1706 est maintenant disponible généralement pour toutes les infrastructures. L’identifiant du package (GUID) est le suivant : 0f11caa4-7f7f-454b-96d6-75f427d015ce.

Il existe quelques problèmes connus qui seront adressés prochainement via un correctif.

Pour les utilisateurs qui ont exécutés le script de la première vague de déploiement entre le 8 et 11 août 2017 avec le GUID ABB97C8D-81E2-4D97-85CD-26FF3C561058, Microsoft a publié le correctif installable via la fonctionnalité dans la console d’administration : Update for System Center Configuration Manager version 1706, first wave

• Les applications peuvent ne pas s’installer sur les clients à cause d’un échec de téléchargement du contenu requis. Quand vous essayez d’installer les logiciels manuellement à travers le Software Center, l’installation échoue avec l’erreur “Unable to download the software” et le message The software change returned error code 0x80070057 (-2147024809).
• Les mises à niveau client peuvent ne pas fonctionner et renvoyer les erreurs suivantes dans le fichier ccmsetup.log :

File C:\windows\ccmsetup\{E71CEDAC-161C-4FC7-BBD1-334BFFC60C1C}\client.msi installation failed. Error text: ExitCode: 1603

Action: CcmCompileSqlCEScripts.

ErrorMessages:

Setup was unable to compile Sql CE script file C:\windows\CCM\UserAffinityStore.sqlce.

The error code is 80004005.

MSI: Setup was unable to compile Sql CE script file C:\windows\CCM\UserAffinityStore.sqlce.

The error code is 80004005.

• Les communications clientes envoyées via le canal de notifications client échoue. Le code d’état 500 est enregistré dans les journaux IIS sur le Management Point.
• Le service SMS Site Component Manager (sitecomp.exe) peut s’arrêter de manière inopinée après la mise à niveau. On observe les erreurs suivantes dans le sitecomp.log : A pure virtual function was called. Fatal error, cannot continue.
• Vous ne pouvez pas activer le PXE Service Point et une erreur suivante est présente dans le fichier Distmgr.log : CDistributionManager::ConfigurePXE failed; 0x80041002
• Plusieurs améliorations d’accessibilité sont ajoutées dans la console d’administration.

Pour les utilisateurs qui ont exécutés le script de la première vague de déploiement entre le 28 juillet et le 8 août 2017 avec les GUIDs suivants, Microsoft a publié le correctif installable via la fonctionnalité dans la console d’administration :

• F9137819-57BD-4FF3-A5C3-6D2B67284124
• ADFD3836-8D4F-4D50-A58F-6782AFFE7B35
• B7700D5C-D16F-40DA-BB0D-A8C5A90822B9

Update 2 for System Center Configuration Manager version 1706, first wave

• Cette mise à jour inclut les correctifs de l’Update for System Center Configuration Manager version 1706, first wave
• Après avoir choisi l’option mass storage driver dans les propriétés Apply Driver Package de la séquence de tâches, une exception non gérée survient. Dans ce cas vous recevez le message d’erreur suivant : Object reference not set to an instance of an object.
• Plusieurs options de raccourcis, comme « Size Column to Fit” et “Sort By” ne sont pas traduits dans la console ConfigMgr.
• Après la mise à niveau vers Configuration Manager version 1706, first wave, le dossier \inboxes\bgb.box\bad peut accumuler des fichiers .bgb plus large que 50 MB. Ces fichiers peuvent être supprimés. Après la mise à niveau, les fichiers .bgb seront plus petits.
• Si un client change d’emplacement d’Internet vers Intranet tout en téléchargement du contenu d’un pont de distribution dans le Cloud (Cloud DP), le téléchargement échoue. Pour un package de mise à niveau du client, le job content transfer manager continue d’essayer et ne peut télécharger les fichiers requis.
• Lors de la mise à niveau du site, la réplication du contenu entre sites peut ralentir et générer du backlog. Une revue de l’activité SQL indique que le SMS Policy Provider bloque les autres threads. Le fichier policypv.log sur le serveur de site renvoie les erreurs :

*** exec spProcessCrpNotifications

*** [HYT00][0][Microsoft][SQL Server Native Client 11.0]Query timeout expired

Failed to execute SQL cmd exec spProcessCrpNotifications

• Le nœud Software Updates Dashboard de la console d’administration, semble se bloquer lors du chargement et prend plus d’une minute pour se charger complétement.
• Les Pull Distribution Points peuvent prendre plus de temps qu’attendu pour se mettre à jour à cause d’un problème de deadlock qui peut survenir quand vous mettez à jour les tables d’état de la distribution du contenu.
• Le Software Center ne s’ouvre pas sur Windows 7. Les messages suivants sont affichés dans le fichier SCClient.log :

Unhandled exception was caught.

(Microsoft.SoftwareCenter.Client.SingleInstanceApplication at OnGetException)

Exception System.Windows.Markup.XamlParseException:  Could not load file or assembly 'SCClient.Common

• Les clients qui n’ont pas renvoyés d’état de conformité, ne se voient pas présenter l’authentification Azure Active Directory pour l’accès conditionnel.
• Les mises à jour cumulatives de Windows Server 2016 ont maintenant un temps d’exécution maximum par défaut de 60 minutes.
• Vous recevez le message d’erreur suivant dans l’outil Configuration Manager Service Manager lorsque vous essayez de redémarrer des composants locaux au serveur de site : Error communication with component.
• La page de propriété personnalisée ne se charge pas dans les assistants Create Package, Create Package from Definition, et Create Task Sequence.
• Après la mise à niveau vers Configuration Manager version 1706, first wave, la création d’un média préchargé pour le déploiement de système d’exploitation peut engendrer la suppression des dossiers utilisateur locaux (\Users et \ProgramData). La suppression survient sur le système où le média est créé.
• Les images de démarrage ne se mettent pas à jour si l’ADK Windows 10 1703 et Configuration Manager version 1706, first wave sont utilisés ensembles.

Microsoft a mis à disposition l’Update Rollup 13 de Windows Azure Pack (WAP) Websites V2. Cet Update Rollup est le dernier que Microsoft publiera. Notez que Windows Azure Pack Web Sites v2 est entré en support étendu à partir du 12 juillet 2017.

Parmi les changements importants qui doivent être implémentés depuis plusieurs Update Rollups, on retrouve :

• Si le système d’exploitation de base est Windows Server 2012 R2, vous devez installer l’Update Rollup Windows Avril 2014. S’il n’est pas installé, le NET Framework 4.6 et les packages cibles : MS Build Tools 2015, Visual C++ 2015 Redistribution Packages ne seront pas installés.
• Dans le cas où plusieurs sites sont exécutés sous la même application pool identity et exécute une application PHP qui utilise Zend Opcache, le premier site demandé, répondra aux demandes. Toutes les autres applications, répondront avec une réponse 500. Ce problème survient dans Zend Opcache. Pour corriger ce problème, déployez un php.ini personnalisés et désactive “zend_extension=php_opcache.dll.”.

On retrouve la mise à jour des frameworks suivants :

• .NET Framework 4.6.2 Developer Pack (KB3151934)
• .NET Framework 4.6.1 Developer Pack (KB3105179)
• PHP 5.3.29
• PHP 5.5.38
• PHP 5.6.24
• PHP 7.0.9 x86 and x64
• Python 2.7 updated to 2.7.8
• Git updated to 2.8.1
• MSODBC13 (Microsoft ODBC Driver 13 for SQL Server) updates to 13.0.811.168

Parmi les problèmes remontés, on retrouve :

• NTLM v2 ne peut pas être activé. Ce correctif permet aux entreprises d’activer NTLM v2.
• Problèmes de sécurité : Le correctif met à jour NodeJS version 4.8.4, 6.11.1, 7.10.1 et 8.1.4.
• A propos des règles de pare-feu existantes : Le correctif n’écrase pas les règles pare-feu pour http qui sont déjà en place entre les rôles Front End et Web Worker.
• Deux sites qui utilisent Windows Authentication ne peuvent parler à d’autres s’ils sont colocalisés sur le même Web Worker.
• TLS 1.0 : Ce correctif permet aux clients de désactiver TLS 1.0.
• Utilisation des certificats client : Le correctif active les certificats client quand les sites sont exécutés dans l’application pool personnalisé dans un environnement joint au domaine.
• Quand vous utilisez Request Filtering pour supprimer le headers serveur, le serveur d’administration devient instable.
• Les utilisateurs ne peuvent créer des sites web à travers PowerShell dans l’Update Rollup 12.
• Le rôle Remove WOrker ne supprime pas de manière intermittente le worker à partir du cache de rôle de données.
• Les données binary ou string sont tronquées quand vous appelez Set-WebSitesConfig -type DefaultAppHostConfig -SectionName “system.webServer/proxyHelper” -SectionXml si la valeur SectionXml est spécifié en utilisant une valeur large.
• La mise à jour ajoute le support de PHP 7.1.

Télécharger Windows Azure Pack Websites V2 Update Rollup 13

Depuis le 24 août dernier, Microsoft a réalisé un changement qui demande aux utilisateurs de satisfaire les stratégies configurées sur Exchange Online et SharePoint Online lorsque vous y accédez par Office.com. Si par exemple, vous demandez l’utilisation de l’authentification à facteurs multiples (MFA) ou la conformité du périphérique pour accéder à SharePoint ou Exchange, ceci s’appliquera aussi à la connexion à Office.com.

Pour résumer :

• Toutes stratégies appliquées à SharePoint ou Exchange pour l’accès en navigateur s’appliqueront.
• Les stratégies configurées pour les applications Desktop et Mobile, ne seront pas appliquées puisque l’accès à Office.com se fait via un navigateur. Ceci s’applique pour les stratégies créées dans le portail Azure, dans le portail Azure classique ou dans le portail d’administration Intune.
• Les stratégies configurées par le MDM Office 365 ne sont pas appliquées puisqu’elles ciblent les applications Mobile.
• Si une stratégie est configurée pour Exchange et à la fois SharePoint, les deux stratégies s’appliqueront quand vous accédez à office.com

Plus d’informations sur : https://blogs.technet.microsoft.com/enterprisemobility/2017/08/04/an-update-to-azure-ad-conditional-access-for-office-com/

Microsoft Press a publié un ebook gratuit visant à introduire les Windows Containers. John McCabe and Michael Friis ont écrit ce livre de 83 pages qui aborde les éléments suivants :

1. Containers 101
2. Docker 101
3. Deep dive : host deployment
4. Deep dive : Working with containers
5. Deep dive : containerizing your application

Télécharger Introduction to Windows Containers

Microsoft a mis à disposition une nouvelle Preview (14.0.600.389) du serveur de rapports On-Premises pour Power BI ainsi que de Power BI Desktop. La première version finale a été publié il y a quelques mois. Power BI Report Server est disponible au travers de la licence Power BI Premium. Il permet d’offrir plus de capacité aux utilisateurs pour accéder, partager et distribuer le contenu Power BI. Le but notamment de fournir un serveur On-Premises pour héberger les rapports Power BI. Le service est construit sur la technologie SQL Server Reporting Services et inclut par conséquent toutes ses capacités (comme l’exécution de rapports RDL). Outre cette publication, on retrouve le client Power BI Desktop optimisé pour Power BI Report Server.

Cette nouvelle Preview de Power BI Report Server permet :

• Connexion en direct vers les modèles Analysis Services à la fois en mode Tabular et multidimensionnel (cubes)
• Connexion à des modèles de données embarqués
• Visualiser et explorer les données et créer des rapports interactifs
• Utilisation de visuels personnalisés dans les rapports Power BI
• Sauvegarde de rapports directement dans le serveur de rapports
• Voir et interagir avec les rapports dans le navigateur
• Ajouter et voir des commentaires à propos

Télécharger

• Microsoft Power BI Report Server - Preview
• Microsoft Power BI Desktop (Optimized for Power BI Report Server - Preview)

Kevin Holman (MSFT) a publié un article très intéressant détaillant les maintenances à réaliser sur les bases de données SQL utilisées par System Center 2016 Operations Manager. Il revient sur les maintenances assez classiques mises en œuvre par les DBA : CheckDB, Update Statistics, Reindex, Backup.

Il aborde aussi les maintenances inclues par défaut dans le produit. Sur la base de données opérationnelle :

• 00h00 : Partitionnement et nettoyage
• 2h00 : Nettoyage des données de découverte
• 2h30 : Optimisation des indexes
• 4h00 : Auto résolution des alertes.

Il revient aussi sur la taille plus importante de la base de données lors de l’utilisation de SQL Server 2016. Ceci avait été remonté par différentes personnes. Il conseille ainsi la création d‘un job de réindexassions de la base de données opérationnelle, tous les jours entre 3h et 6h.

Enfin, il aborde les maintenances sur le Data Warehouse et le modèle de restauration à adopter pour les bases.

Plus d’informations sur son billet : https://blogs.technet.microsoft.com/kevinholman/2017/08/03/what-sql-maintenance-should-i-perform-on-my-scom-2016-databases/

Voici le récapitulatif des annonces faites par Microsoft concernant sa plateforme Microsoft Azure.

Parmi les annonces, on retrouve notamment :

General

• Microsoft a annoncé le support de Windows et SQL Server dans OpenShift ainsi qu’OpenShift Dedicated sur Azure.
• Microsoft devient membre d'IC3 : l'initiative pour les CyrptoCurrencies et Contracts. Microsoft a proposé Coco Framework afin de fournir un framework pour blockchain et assurer la confidentialité des transactions.
• 14 nouvelles offres Cloud sont proposées dans l’Azure MarketPlace : Denodo Platform, Kinetica (BYOL), Informatica Big Data Management 10.1.1. U2 (BYOL), Lumify, AppGate, NetConnect, SQLstream Blaze, CARTO Builder, vSEC :CMS C-Series, VU Application Server, Identity Orchestration and Management Portal
• Preview de la gestion du coût de l'entreprise dans le nouveau portail Azure. Les entreprises qui ont un Azure EA peuvent voir et analyser les coûts de l'abonnement sous différents angles directement depuis le portail.

Azure Storage

• Depuis le 31 août, le chiffrement du service de stockage (Storage Service Encryption) est activé par défaut pour les nouvelles données écrites dans des Blobs, Tables, Queues, et fichiers. Microsoft va chiffrer rétroactivement les données existantes. Ce changement sera effectif pour les comptes de stockage classiques ou ARM. Vous pouvez choisir entre des clés de chiffrement gérées par Microsoft ou par vous-même. Notez que le changement est transparent et ne demande aucun changement aux applications suivantes. Vous pouvez toujours demander à désactiver le chiffrement en contacter le support. Plus d’informations sur : https://docs.microsoft.com/en-us/azure/storage/storage-service-encryption
• Preview des événéments de stockage Azure Blob permettant à des applications de réagir à la création ou la suppression de blobs sans avoir à créer de code très compliqué. Les événements sont poussés dans un gestionnaire d’événements tels quel Azure Functions, Azure Logic Apps, etc.
• Archive Blob Public Preview d’Azure Storage et Blob-Level Tiering. Le premier permet aux entreprises de réduire un peu plus le coût du stockage pour des données qui sont utilisées très rapidement. La partie Blob-Level Tiering permet de gérer le cout du stockage au niveau de l’objet.

IaaS

• Désactivation de SMB v1 dans les images de système d’exploitation Windows présentes dans la galerie Azure. Ce changement est effectif dès maintenant et laisse donc le service désactivé par défaut. Plus d’informations sur : https://blogs.msdn.microsoft.com/azuresecurity/2017/08/18/disabling-server-message-block-version-1-smb-v1-in-azure/
• Disponibilité de Cloudbreak pour Hortonworks Data Platform sur Azure MarketPlace. CloudBreak permet de provisionner, configure et adapter facilement des clusters Horton Data Platform.
• Public Preview de Just-In-Time VM Access pour donner un accès temporaire et à la demande aux machines virtuelles en filtrant les adresses IP pouvant se connecter à distance. Cette fonctionnalité est incluse dans la Standard Tier d'Azure Security Center.

Enterprise Mobility + Security

• Support de l’accès conditionnel pour macOS par Microsoft Intune et Azure Active Directory. Ceci permet donc d’évaluer la conformité d’un périphérique via le portail d’entreprise de Microsoft Intune et de renvoyer l’état qui pourra être utilisé pour accéder aux différents services de l’entreprise.

Office 365

• Public Preview pour l'expiration automatique des groupes Office 365. Les employés peuvent créer des groupes Office 365 à la volée afin de collaborer entre collègues. Avec l'augmentation des groupes, cette fonctionnalité permet de gérer le cycle de vie en y associant une date d'expiration. Arrivée à la date d'expiration, il est demandé à l'utilisateur de le renouveler sous peine d'être définitivement supprimé.

Azure Active Directory

• Changement de la durée de vie par défaut des Tokens sur Azure Active Directory. Microsoft travaille pour réduire les fenêtres d’authentification et l’impact sur l’utilisateur en modifiant les paramètres des Tokens pour tous les nouveaux tenants Azure Active Directory :
  • Refresh Token Inactivity: 90 Jours
  • Single/Multi factor Refresh Token Max Age: Jusqu’à la révocation
  • Refresh token Max Age for Confidential Clients: Jusqu’à la revocation

Il est bien entendu possible de changer les valeurs par défaut.

• Public Preview du support d’Azure AD Domain Services par les réseaux virtuels ARM. Pour l’instant, la fonctionnalité n’est présente que pour les nouveaux domaines ou ceux dans une instance de test. Les domaines de production pourront être migrés via un mécanisme dédié qui sera proposé d’ici décembre 2017.
• Amélioration du reporting sur les erreurs de synchronisation avec Azure AD Connect Health :
  • Il n’est plus nécessaire d’avoir Azure AD Premium pour accéder au rapport sur les erreurs de synchronisation.
  • Le rapport inclut maintenant les erreurs dues à la fonctionnalité Duplicate Attribute Resiliency.
  • Ajout d’une catégorie dédiée pour les erreurs « FederatedDomainChange »

Note : Vous devez mettre à jour Azure AD Connect en version 1.1.281.0 ou plus.

Azure Information Protection

• Extension des listes de modèles prédéfinis pour automatiser la classification pour supporter plus de 80 types d’informations sensibles. Microsoft utilise la même liste dans Office 365 et le même moteur.
• Une nouvelle action de protection appelée « User defined permissions », une extension de l’action « Do not foward » permettant de mapper un label sur une protection ad-hoc par utilisateurs dans Word, Excel, PowerPoint, etc.
• L’activation de RMS est en disponibilité générale et permet de convertir les modèles RMS liés à des options « pre-defined template ».
• Il est possible de localiser les modèles RMS hérités.
• Suppression de la limitation bloquant l’édition des modèles par défaut.
• Mise à jour de la documentation relative au produit.

Operations Management Suite

• Disponibilité Générale de la solution de supervision des conteneurs (Container Monitoring) dans Log Analytics. Outre la disponibilité générale, on retrouve de nouvelles fonctionnalités donnant des informations sur les clusters kubernetes. La solution de supervision de conteneur permet de :
  • Voir des informations à propos de tous les hôtes de conteneurs depuis un seul emplacement
  • Connaître quels conteneurs sont en cours d’exécution, quelle image ils exécutent et où ils sont exécutés.
  • Voir un fil d'audit pour les actions sur les conteneurs.
  • Dépanner en visualisant et cherchant dans des journaux centralisés sans avoir à se connecter sur l’hôte Docker.
  • Trouver les conteneurs qui peuvent poser problème en consommant trop de ressources sur un hôte.
  • Voir de manière centralisée le CPU, la mémoire, le stockage et le réseau utilisé ainsi que les informations de performance sur les conteneurs.
• Intégration de Service Map avec System Center Operations Manager pour procéder à la création automatique d’applications distribuées sur la base des Service Maps détectées par OMS. Microsoft fournit pour cela un Management Pack en Public Preview.
• Public Preview d’une solution d’évaluation de la sécurité Web permettant d’analyser des serveurs Web IIS.
• Améliorations de la solution Network Performance Monitor avec :
  • Un page de diagnostic de l’agent pour voir l’état de santé et les problèmes de configuration.
  • Capacité de voir la latence entre deux points du réseau avec une séparation saut par saut.
  • Network Performance Monitor est maintenant disponible directement dans le portail Azure.
  • Ajout à la région West Central US.

Azure SQL

• Passage prochain du niveau de compatibilité par défaut à 140 (SQL Server 2017) pour les nouvelles bases de données dans Azure SQL Database.
• Preview du chiffrement de données transparent (TDE) avec le support de BYOK (Bring Your Own Key) pour Azure SQL Database et Azure SQL Data Warehouse.
• Public Preview de nouveaux niveaux de performances et composants additionnels de stockage :
  • Les niveaux de performances du Standard tier passe à 3000 DTUs avec différents niveaux.
  • De nouveaux niveaux Standard S4 à S12 offrent des niveaux spécifiques jusqu’à 3000 DTUs.
  • Auparavant la limite de taille de stockage était à niveau fixe lié au niveau de performance. Les entreprises peuvent maintenant acheter du stockage supplémentaire pour des bases de données seules ou des elastic pools sur les tiers Standard (0,085USD/GB/Mois) et Premium(0,170USD/GB/Mois).
• Azure Database pour MySQL et PostgreSQL sont disponibles dans les régions India.

Azure Government

• Azure Monitor est maintenant disponible dans Azure Government. Pour rappel, Azure Monitor est un service de supervision intégré des ressources Azure pour les utilisateurs Azure. Vous pouvez y retrouver des métriques, des journaux, etc.
• Limited Preview d'Azure Active Directory Premium sur US Government.

Autres services

• Preview de la vérification de connectivité par Azure Network Watcher.
• Disponibilité Générale d'Azure App Service sur Linux incluant la capacité Web App for Containers. Ceci permet d'avoir des images built-in pour ASP.NET Core, Node.js, PHP et Ruby sur Linux. Plus d'informations sur : https://azure.microsoft.com/fr-fr/blog/webapp-for-containers-overview/
• Ajout d’Azure Data Lake Store pour capturer des événements à partir d’Event Hubs Capture.
• Azure Monitor comprend de nouvelles fonctionnalités permettant de router les informations et métriques de diagnostic vers un compte de stockage, un namespace Event Hubs ou un workspaces Log Analytics.
• Private Preview de la détection d’anomalies basée sur du Machine Learning dans Azure Stream Analytics.
• Preview d'Azure IoT Device Provisioning Service permettant d'automatiser la connexion et la configuration du périphérique. Ce service permet d'apporter une approche provisionnement Zero-Touch vers l'IoT Hub.
• Possibilité d’utiliser des modèles Jupyter Notebook pour requêter de manière régulière les données de télémétrie et faire une analyse avancée qui peut être ensuite renvoyée à Azure Application Insights.
• Le designer Web d’Azure Analysis Services ajoute l’édition de modèle visuel en Preview. On retrouve donc un éditeur de diagramme qui permet véritablement de modifier les modèles visuellement.
• Version 1.2 des librairies de gestion Azure pour Java afin d’apporter le support de fonctionnalités de déploiement et de sécurité additionnels avec l’identité de service géré, le chiffrement du service de stockage, etc.
• Version 1.2 des librairies de gestion Azure pour .NET afin d’apporter le support de fonctionnalités de déploiement et de sécurité additionnels avec l’identité de service géré, le chiffrement du service de stockage, etc.
• Les outils HDInsight IntelliJ fournissent un moteur robuste de dépannage à distance pour des éléments s’exécutant dans le Cloud Azure.
• Des nouveautés sur Visual Studio Team Services avec
  • Une Preview du nouvel éditeur Release Definition Editor.
  • La visualisation du pipeline permet de voir graphiquement l’état des déploiements.
  • Les Artifacts, release triggers, approbations de pré déploiement et post déploiement, les propriétés de l’environnement et paramétrages de déploiement, sont configurables facilement dans l’interface graphique.
  • Application des modèles de déploiement.
  • Amélioration de l’éditeur de tâches et de phases.

Microsoft vient d’annoncer la version finale des baselines de paramétrages de sécurité pour Windows 10 1703 (Anniversary Update/RS2). On y retrouve les nouveaux paramétrages de cette nouvelle Build. Ces dernières s’utilisent avec Security Compliance Toolkit (SCT). Les lignes de base permettent de vérifier la conformité d’une application vis-à-vis des bonnes pratiques et recommandations Microsoft.

Voici les différences avec la baseline pour Windows 10 1607 :

• Désactivation du protocole Server Message Block (SMB) v1 en utilisant un fichier ADMX personnalisés afin que les paramétrages puissent être exposés par l’éditeur de stratégie de groupe.
• Suppression du paramétrage « Untrusted Font Blocking ». Microsoft a intégré de nombreux autres paramétrages qui mitigent et rend ce paramétrage non nécessaire. Pour en savoir plus sur la raison de cette suppression, rendez-vous sur : Dropping the “Untrusted Font Blocking” setting.
• Désactivation de VBScript dans Internet Explorer lors de la navigation sur les zones de sécurité Internet ou Restricted Site.
• Suppression du paramétrage “Network access: Do not allow storage of passwords and credentials for network authentication”. La configuration de ce paramétrage rend impossible la configuration d’une tâche planifiée qui a besoin d’un accès réseau authentifié avec un utilisateur et un mot de passe.
• Désactivation du support de TLS 1.0 pour les sites HTTPs dans Internet Explorer afin de n’autoriser que TLS 1.1 et 1.2.
• Désactivation des services Xbox et HomeGroup qui ne sont pas nécessaires dans le contexte d’entreprise.
• Exposition de deux paramétrages à travers l’ADMX personnalisé “MS Security Guide” pour forcer les protections des processus 32-bit et « Turn on Windows Defender protection against Potentially Unwanted Applications ».
• Suppression des paramétrages de sécurité qui empêche Internet Explorer d’utiliser des polices téléchargées sur Internet et les zones de sites restreints.
• Le forcement de l’User Rights Assignements par défaut à Generate security audits (SeAuditPrivilege) a été supprimé.
• Activation du paramètre “Do not suggest third-party content in Windows spotlight” dans User Configuration\Administrative Templates\Windows Components\Cloud Content.

Plus d’informations sur l’article suivant : https://blogs.technet.microsoft.com/secguide/2017/08/30/security-baseline-for-windows-10-creators-update-v1703-final/

Télécharger Windows 10 RS2 Security Baseline

Microsoft a publié un guide sur les mécanismes de sécurité présents dans Windows Server 2016. Les aspects suivants sont abordés :

• L’importance de la sécurité de Windows Server 2016
• Les Informations relatives à la prévention et à la détection des compromissions
• Comment construire une fondation sécurisée
• Comment protéger les identités privilégiées
• Comment durcir Windows Server
• Comment améliorer la protection contre les menaces
• Comment durcir les environnements Hyper-V

Télécharger Windows Server 2016 Security Guide

Microsoft a créé une vidéo de présentation de la fonctionnalité Windows AutoPilot de Windows 10. La vidéo montre notamment l’interface présente dans le Microsoft Store for Business. Pour rappel, Windows AutoPilot est l’équivalent du programme Apple Device Enrollment Program (DEP). Il permet de pré-provisionner des périphériques sans action particulière de la part de l’utilisateur. On peut donc acheter le périphérique et le faire livrer directement à l’utilisateur. Ce dernier le démarre et il se configure tout seul avec les éléments nécessaires pour l’entreprise.

Microsoft a publié un article dans sa base de connaissances pour décrire comment réaliser une capture du réseau depuis une séquence de tâches dans un environnement Windows PE. Ceci peut être très utile quand vous faites du déploiement de système d’exploitation avec Microsoft Deployment Toolkit (MDT) ou System Center Configuration Manager (SCCM). Cela peut aussi servir pour faire du dépannage. Prenez-le cas où vous devez déployer un système d’exploitation sur un réseau avec du 802.1x.

Vous devez donc :

1. Extraire l’installeur de Network Monitor dans un dossier
2. Récupérer les fichiers Netnm3.inf et Nm3.sys.
3. Monter l’image de démarrage et injecter le fichier Netnm3.inf
4. Copier le dossier Microsoft Network Monitor 3 dans le dossier où l’image de démarrage est montée.
5. Copier le fichier Nm3.sys dans les répertoires spécifiques du système.
6. Démonter et valider l’image de démarrage.
7. Mettre à jour l’image de démarrage sur votre infrastructure Configuration Manager ou MDT.
8. Démarrer avec l’image de démarrage. Charger l’invite de commande et dans le dossier Microsoft Network Monitor 3, exécutez les commandes d’installation Nmconfig.exe /install puis Netmon.exe

Plus d’informations sur la KB4034393 How to get network captures from a task sequence in Windows PE

Microsoft a officiellement annoncé la fin de support et de service pour Windows 10 1511. Ceci est effectif depuis le 27 juillet 2017 et vous devez migrer très rapidement vers une version plus récente (1607, 1703). Microsoft ne publiera plus de mises à jour de sécurité à partir du 10 octobre 2017.

Source : https://support.microsoft.com/en-us/help/4036927/windows-10-version-1511-end-of-service-for-cb-and-cbb-july-27-2017

Microsoft va tenir un Webinar sur l’intégration de la solution de sécurité Check Point Sandblast avec Microsoft Intune. La solution permet de sécuriser les périphériques mobiles des menaces avancées afin d’assurer la conformité du périphérique pour accéder aux ressources d’entreprise.

Il y a deux créneaux :

• Americas: Wednesday, September 13 – 10:00 am (PT)
• Europe + Asia: Wednesday, September 13 – 10:00 am (CEST)

Microsoft vient de publier une nouvelle version du client ConfigMgr pour les serveurs UNIX/Linux. Cette version (5.0.7958.2432) peut être utilisée pour System Center Configuration Manager 2012 SP1, SP2, R2 SP1 et Current Branch.

Elle ajoute le support d’Ubuntu 16.04 (x86/x64). Elle retire le support de AIX version 5.3, Solaris version 9, HP-UX on PA-RISC hardware, HP-UX version 11iv2, et SLES version 9 qui ne sont plus supportés par les vendeurs.

Enfin, on retrouve diverses corrections de bugs.

Télécharger Microsoft System Center Configuration Manager - Clients for Additional Operating Systems

Microsoft vient d’annoncer la mise à disposition d’un nouvel ensemble de fonctionnalités pour Microsoft Intune.

Les fonctionnalités suivantes sont ajoutées :

Enregistrement

• Amélioration à la vue Device Overview qui affiche maintenant maintenant les périphériques enregistrés mais exclue ceux gérés par Exchange ActiveSync. Ces périphériques n’ont pas les mêmes options de gestion que ceux enregistrés.

Gestion des périphériques

• Amélioration de l’inventaire collecté par Intune avec les informations suivantes :
  • Pour Android, vous pouvez ajouter une colonne à l’inventaire de périphérique afin de montrer le dernier niveau de patch (Security patch level) de chaque périphérique.
  • Vous pouvez maintenant filtrer les périphériques par la date d’enregistrement (exemple les périphériques enregistrés après une certaine date).
  • Amélioration du filtre Last Check-in Date.
  • Dans la liste de périphérique, vous pouvez afficher le numéro de téléphone des périphériques d’entreprise. Vous pouvez aussi filtrer sur cet attribut.
• Support de l’accès conditionnel pour les périphériques Mac. Vous pouvez maintenant configurer des stratégies d’accès conditionnel demandant à ce que le Mac soit enregistré dans Microsoft Intune et conforme aux stratégies. L’utilisateur doit pour cela, télécharger l’application portail d’entreprise pour macOS et enregistrer leur Mac dans Intune. Intune évalue alors la conformité comme le PIN, le chiffrement, la version du système et l’intégrité du système. Ce support est apporté pour macOS 10.11+, Safari et les applications Office 2016 pour Mac en version
  • Outlook v15.34 and later
  • Word v15.34 and later
  • Excel v15.34 and later
  • PowerPoint v15.34 and later
  • OneNote v15.34 and later

• Nouveaux paramétrages de restriction Windows 10 dans les catégories :
  • Windows Defender SmartScreen
  • App store

• Mise à jour du profil de paramétrages BitLocker dans Windows 10 endpoint protection device:
  • Quand vous sélectionnez Block sur le paramétrage BitLocker with non-compatible TPM chip, ceci engendrait en réalité l’autorisation de BitLocker.
  • Le paramétrage Certificate-based data recovery agent permet de bloquer explicitement certificate-based data recovery agent. Par défaut, l’agent est autorisé.
  • Sous BitLocker fixed data-drive settings pour l’agent data recovery, vous pouvez maintenant explicitement bloquer l’agent de restauration de données.

Gestion des applications

• Une nouvelle expérience de connexion pour le portail d’entreprise Android. Celle-ci permet de voir les applications, gérer les périphériques et voir les informations du service informatique sans avoir à enregistrer le périphérique Android dans la solution d’administration. Si un utilisateur a déjà une application protégée par les stratégies de protection des applications et qu’il lance le portail d’entreprise Android, il n’est pas non plus incité à enregistré son périphérique.
• Support des identités multiples (personnels et professionnels) pour OneNote pour iOS.

En outre, on retrouve les changements suivants :

• Changement des adresses IP utilisées par Microsoft Intune : https://docs.microsoft.com/en-us/intune/network-bandwidth-use
• Remplacement du rôle d’administration pour la partie Mobile Application Management par RBAC dans le nouveau portail Azure.

Plus d’informations sur : https://docs.microsoft.com/en-us/intune/whats-new

Microsoft planifie la migration des paramétrages Apple’s Device Enrollment Program (DEP), Volume Purchase Program (VPP), et les gestionnaires d’enregistrement de périphérique (DEM) vers Microsoft Intune sur Azure. Cette migration aura lieu entre le lundi 11 et vendredi 22 septembre 2017.

Si vous n’utilisez pas ces éléments ou vous ne comptez pas les utiliser dans le mois à venir, vous n’êtes pas concernés.

Dès lors que les paramétrages auront été migrés, il ne sera possible de les utiliser que depuis Intune sur Azure. Après la migration, vous aurez besoin d’assigner un profil avant d’activer les périphériques DEP. Pour la fonctionnalité VPP, vous allez devoir suivre les instructions pour activer le token VPP. De plus, le portail Azure ne supporte pas le profil d’enregistrement de périphérique d’entreprise par défaut pour les périphériques DEP.