Une des nouveautés de System Center Configuration Manager 1706 est de permettre le blocage de l’enregistrement des périphériques personnels dits BYOD (Bring Your Own Device). Cette fonctionnalité est configurable pour les plateformes iOS et Android.  L’option Block personally owned devices rejette toute demande d’enregistrement pour des périphériques non connus.

Les périphériques doivent être pré-déclarés dans System Center Configuration Manager en naviguant dans Asset and Compliance > Overview > All Corporate-owned Devices > Predeclared Devices ou alors doivent être enregistrés via une jointure Azure Active Directory ou via le programme Apple Device Enrollment Program (DEP).

Ceux qui ont essayé la fonctionnalité lorsque la version 1706 est sortie, se sont rendus compte qu’elle n’était pas fonctionnelle. Vous pouviez cocher la case sans que celle-ci ne bloque véritablement les enregistrements de périphériques personnels. Ceci était dû à un changement en attente dans le service Microsoft Intune. Ce changement est effectif depuis le 16 août 2017.

Microsoft vient de mettre à disposition la Technical Preview 1708 (5.0.8549.1000) de System Center Configuration Manager. Pour rappel, ConfigMgr a subi une refonte de sa structure pour permettre des mises à jour aisées de la même façon que l’on peut le voir avec Windows 10. Si vous souhaitez installer cette Technical Preview, vous devez installer la Technical Preview 1703 puis utiliser la fonctionnalité Updates and Servicing (nom de code Easy Setup).

System Center Configuration Manager TP 1708 comprend les nouveautés suivantes :

Administration

• Une fonctionnalité Management Insights permet d’obtenir des informations sur l’état de l’environnement en fonction des données de la base de données. Depuis la partie Administration > Management Insights > All, vous pouvez voir :
  • Les applications sans aucun déploiement actif. Ceci permet de vous aider à nettoyer les applications.
  • Les collections sans membres.
• Une fonctionnalité qui permet de gérer les redémarrages des clients en obtenant l’état de redémarrage depuis la console et en lançant une action cliente de redémarrage. Le redémarrage utilise l’API du client ConfigMgr et affiche donc une fenêtre de notification. Pour l’instant l’état de redémarrage ne prend pas en compte les clés de registre extérieure au client mais ceci fait partie de la roadmap de Microsoft. Seul les actions et redémarrages initiés par le client ConfigMgr (applications, mises à jour, etc.) sont répertoriés.

• Il est possible d’ajouter des éléments de personnalisation de l’entreprise au Software Center comme le nom de l’entreprise, le thème de couleur, le logo de l’entreprise ou la visibilité des onglets. Cette configuration se fait depuis les paramétrages du client.

Mise à jour logicielles et conformité

• Arrivé il y a quelques Previews, la fonctionnalité de création et exécution des scripts PowerShell depuis la console ConfigMgr directement sur des collections se voit améliorer l’utilisation des paramètres. Microsoft détecte maintenant ceux qui sont obligatoires ou optionnels. L’utilisateur est invité à renseigner la valeur de ceux qui sont obligatoires

Plus d’informations sur : https://docs.microsoft.com/en-us/sccm/core/get-started/capabilities-in-technical-preview-1708

Avec l’arrivée de la Fall Creator Update, Microsoft prépare l’introduction de cette nouvelle version. La communication autour de chaque version de Windows 10 est aujourd’hui très tournée autour du consommateur. Les fonctionnalités d’entreprise manquent de visibilité au travers du programme Windows Insider. C’est d’ailleurs la raison pour laquelle, Microsoft a lancé Windows Insider for Business. Aujourd’hui, Microsoft annonce Windows Insider Lab for Enterprise (nom de code Olympia). Le but est de fournir un environnement fictif pour une entreprise virtuelle appelée Olympia afin d’essayer ces fonctionnalités (Windows Information Protection, ATP, Application Guard, etc.)

L’inscription se fait via un lien reçu dans la Newsletter Windows Insider de Septembre 2017.

Accéder à la FAQ

Pour s’inscrire, rendez-vous sur : https://insidersurveys.windows.com/s3/lab-for-enterprise

Plus d’informations sur : https://olympia.windows.com/

System Center Configuration Manager 1706 est maintenant disponible généralement pour toutes les infrastructures. L’identifiant du package (GUID) est le suivant : 0f11caa4-7f7f-454b-96d6-75f427d015ce.

Il existe quelques problèmes connus qui seront adressés prochainement via un correctif.

Pour les utilisateurs qui ont exécutés le script de la première vague de déploiement entre le 8 et 11 août 2017 avec le GUID ABB97C8D-81E2-4D97-85CD-26FF3C561058, Microsoft a publié le correctif installable via la fonctionnalité dans la console d’administration : Update for System Center Configuration Manager version 1706, first wave

• Les applications peuvent ne pas s’installer sur les clients à cause d’un échec de téléchargement du contenu requis. Quand vous essayez d’installer les logiciels manuellement à travers le Software Center, l’installation échoue avec l’erreur “Unable to download the software” et le message The software change returned error code 0x80070057 (-2147024809).
• Les mises à niveau client peuvent ne pas fonctionner et renvoyer les erreurs suivantes dans le fichier ccmsetup.log :

File C:\windows\ccmsetup\{E71CEDAC-161C-4FC7-BBD1-334BFFC60C1C}\client.msi installation failed. Error text: ExitCode: 1603

Action: CcmCompileSqlCEScripts.

ErrorMessages:

Setup was unable to compile Sql CE script file C:\windows\CCM\UserAffinityStore.sqlce.

The error code is 80004005.

MSI: Setup was unable to compile Sql CE script file C:\windows\CCM\UserAffinityStore.sqlce.

The error code is 80004005.

• Les communications clientes envoyées via le canal de notifications client échoue. Le code d’état 500 est enregistré dans les journaux IIS sur le Management Point.
• Le service SMS Site Component Manager (sitecomp.exe) peut s’arrêter de manière inopinée après la mise à niveau. On observe les erreurs suivantes dans le sitecomp.log : A pure virtual function was called. Fatal error, cannot continue.
• Vous ne pouvez pas activer le PXE Service Point et une erreur suivante est présente dans le fichier Distmgr.log : CDistributionManager::ConfigurePXE failed; 0x80041002
• Plusieurs améliorations d’accessibilité sont ajoutées dans la console d’administration.

Pour les utilisateurs qui ont exécutés le script de la première vague de déploiement entre le 28 juillet et le 8 août 2017 avec les GUIDs suivants, Microsoft a publié le correctif installable via la fonctionnalité dans la console d’administration :

• F9137819-57BD-4FF3-A5C3-6D2B67284124
• ADFD3836-8D4F-4D50-A58F-6782AFFE7B35
• B7700D5C-D16F-40DA-BB0D-A8C5A90822B9

Update 2 for System Center Configuration Manager version 1706, first wave

• Cette mise à jour inclut les correctifs de l’Update for System Center Configuration Manager version 1706, first wave
• Après avoir choisi l’option mass storage driver dans les propriétés Apply Driver Package de la séquence de tâches, une exception non gérée survient. Dans ce cas vous recevez le message d’erreur suivant : Object reference not set to an instance of an object.
• Plusieurs options de raccourcis, comme « Size Column to Fit” et “Sort By” ne sont pas traduits dans la console ConfigMgr.
• Après la mise à niveau vers Configuration Manager version 1706, first wave, le dossier \inboxes\bgb.box\bad peut accumuler des fichiers .bgb plus large que 50 MB. Ces fichiers peuvent être supprimés. Après la mise à niveau, les fichiers .bgb seront plus petits.
• Si un client change d’emplacement d’Internet vers Intranet tout en téléchargement du contenu d’un pont de distribution dans le Cloud (Cloud DP), le téléchargement échoue. Pour un package de mise à niveau du client, le job content transfer manager continue d’essayer et ne peut télécharger les fichiers requis.
• Lors de la mise à niveau du site, la réplication du contenu entre sites peut ralentir et générer du backlog. Une revue de l’activité SQL indique que le SMS Policy Provider bloque les autres threads. Le fichier policypv.log sur le serveur de site renvoie les erreurs :

*** exec spProcessCrpNotifications

*** [HYT00][0][Microsoft][SQL Server Native Client 11.0]Query timeout expired

Failed to execute SQL cmd exec spProcessCrpNotifications

• Le nœud Software Updates Dashboard de la console d’administration, semble se bloquer lors du chargement et prend plus d’une minute pour se charger complétement.
• Les Pull Distribution Points peuvent prendre plus de temps qu’attendu pour se mettre à jour à cause d’un problème de deadlock qui peut survenir quand vous mettez à jour les tables d’état de la distribution du contenu.
• Le Software Center ne s’ouvre pas sur Windows 7. Les messages suivants sont affichés dans le fichier SCClient.log :

Unhandled exception was caught.

(Microsoft.SoftwareCenter.Client.SingleInstanceApplication at OnGetException)

Exception System.Windows.Markup.XamlParseException:  Could not load file or assembly 'SCClient.Common

• Les clients qui n’ont pas renvoyés d’état de conformité, ne se voient pas présenter l’authentification Azure Active Directory pour l’accès conditionnel.
• Les mises à jour cumulatives de Windows Server 2016 ont maintenant un temps d’exécution maximum par défaut de 60 minutes.
• Vous recevez le message d’erreur suivant dans l’outil Configuration Manager Service Manager lorsque vous essayez de redémarrer des composants locaux au serveur de site : Error communication with component.
• La page de propriété personnalisée ne se charge pas dans les assistants Create Package, Create Package from Definition, et Create Task Sequence.
• Après la mise à niveau vers Configuration Manager version 1706, first wave, la création d’un média préchargé pour le déploiement de système d’exploitation peut engendrer la suppression des dossiers utilisateur locaux (\Users et \ProgramData). La suppression survient sur le système où le média est créé.
• Les images de démarrage ne se mettent pas à jour si l’ADK Windows 10 1703 et Configuration Manager version 1706, first wave sont utilisés ensembles.

Microsoft a mis à disposition l’Update Rollup 13 de Windows Azure Pack (WAP) Websites V2. Cet Update Rollup est le dernier que Microsoft publiera. Notez que Windows Azure Pack Web Sites v2 est entré en support étendu à partir du 12 juillet 2017.

Parmi les changements importants qui doivent être implémentés depuis plusieurs Update Rollups, on retrouve :

• Si le système d’exploitation de base est Windows Server 2012 R2, vous devez installer l’Update Rollup Windows Avril 2014. S’il n’est pas installé, le NET Framework 4.6 et les packages cibles : MS Build Tools 2015, Visual C++ 2015 Redistribution Packages ne seront pas installés.
• Dans le cas où plusieurs sites sont exécutés sous la même application pool identity et exécute une application PHP qui utilise Zend Opcache, le premier site demandé, répondra aux demandes. Toutes les autres applications, répondront avec une réponse 500. Ce problème survient dans Zend Opcache. Pour corriger ce problème, déployez un php.ini personnalisés et désactive “zend_extension=php_opcache.dll.”.

On retrouve la mise à jour des frameworks suivants :

• .NET Framework 4.6.2 Developer Pack (KB3151934)
• .NET Framework 4.6.1 Developer Pack (KB3105179)
• PHP 5.3.29
• PHP 5.5.38
• PHP 5.6.24
• PHP 7.0.9 x86 and x64
• Python 2.7 updated to 2.7.8
• Git updated to 2.8.1
• MSODBC13 (Microsoft ODBC Driver 13 for SQL Server) updates to 13.0.811.168

Parmi les problèmes remontés, on retrouve :

• NTLM v2 ne peut pas être activé. Ce correctif permet aux entreprises d’activer NTLM v2.
• Problèmes de sécurité : Le correctif met à jour NodeJS version 4.8.4, 6.11.1, 7.10.1 et 8.1.4.
• A propos des règles de pare-feu existantes : Le correctif n’écrase pas les règles pare-feu pour http qui sont déjà en place entre les rôles Front End et Web Worker.
• Deux sites qui utilisent Windows Authentication ne peuvent parler à d’autres s’ils sont colocalisés sur le même Web Worker.
• TLS 1.0 : Ce correctif permet aux clients de désactiver TLS 1.0.
• Utilisation des certificats client : Le correctif active les certificats client quand les sites sont exécutés dans l’application pool personnalisé dans un environnement joint au domaine.
• Quand vous utilisez Request Filtering pour supprimer le headers serveur, le serveur d’administration devient instable.
• Les utilisateurs ne peuvent créer des sites web à travers PowerShell dans l’Update Rollup 12.
• Le rôle Remove WOrker ne supprime pas de manière intermittente le worker à partir du cache de rôle de données.
• Les données binary ou string sont tronquées quand vous appelez Set-WebSitesConfig -type DefaultAppHostConfig -SectionName “system.webServer/proxyHelper” -SectionXml si la valeur SectionXml est spécifié en utilisant une valeur large.
• La mise à jour ajoute le support de PHP 7.1.

Télécharger Windows Azure Pack Websites V2 Update Rollup 13

Depuis le 24 août dernier, Microsoft a réalisé un changement qui demande aux utilisateurs de satisfaire les stratégies configurées sur Exchange Online et SharePoint Online lorsque vous y accédez par Office.com. Si par exemple, vous demandez l’utilisation de l’authentification à facteurs multiples (MFA) ou la conformité du périphérique pour accéder à SharePoint ou Exchange, ceci s’appliquera aussi à la connexion à Office.com.

Pour résumer :

• Toutes stratégies appliquées à SharePoint ou Exchange pour l’accès en navigateur s’appliqueront.
• Les stratégies configurées pour les applications Desktop et Mobile, ne seront pas appliquées puisque l’accès à Office.com se fait via un navigateur. Ceci s’applique pour les stratégies créées dans le portail Azure, dans le portail Azure classique ou dans le portail d’administration Intune.
• Les stratégies configurées par le MDM Office 365 ne sont pas appliquées puisqu’elles ciblent les applications Mobile.
• Si une stratégie est configurée pour Exchange et à la fois SharePoint, les deux stratégies s’appliqueront quand vous accédez à office.com

Plus d’informations sur : https://blogs.technet.microsoft.com/enterprisemobility/2017/08/04/an-update-to-azure-ad-conditional-access-for-office-com/

Microsoft Press a publié un ebook gratuit visant à introduire les Windows Containers. John McCabe and Michael Friis ont écrit ce livre de 83 pages qui aborde les éléments suivants :

1. Containers 101
2. Docker 101
3. Deep dive : host deployment
4. Deep dive : Working with containers
5. Deep dive : containerizing your application

Télécharger Introduction to Windows Containers

Microsoft a mis à disposition une nouvelle Preview (14.0.600.389) du serveur de rapports On-Premises pour Power BI ainsi que de Power BI Desktop. La première version finale a été publié il y a quelques mois. Power BI Report Server est disponible au travers de la licence Power BI Premium. Il permet d’offrir plus de capacité aux utilisateurs pour accéder, partager et distribuer le contenu Power BI. Le but notamment de fournir un serveur On-Premises pour héberger les rapports Power BI. Le service est construit sur la technologie SQL Server Reporting Services et inclut par conséquent toutes ses capacités (comme l’exécution de rapports RDL). Outre cette publication, on retrouve le client Power BI Desktop optimisé pour Power BI Report Server.

Cette nouvelle Preview de Power BI Report Server permet :

• Connexion en direct vers les modèles Analysis Services à la fois en mode Tabular et multidimensionnel (cubes)
• Connexion à des modèles de données embarqués
• Visualiser et explorer les données et créer des rapports interactifs
• Utilisation de visuels personnalisés dans les rapports Power BI
• Sauvegarde de rapports directement dans le serveur de rapports
• Voir et interagir avec les rapports dans le navigateur
• Ajouter et voir des commentaires à propos

Télécharger

• Microsoft Power BI Report Server - Preview
• Microsoft Power BI Desktop (Optimized for Power BI Report Server - Preview)

Kevin Holman (MSFT) a publié un article très intéressant détaillant les maintenances à réaliser sur les bases de données SQL utilisées par System Center 2016 Operations Manager. Il revient sur les maintenances assez classiques mises en œuvre par les DBA : CheckDB, Update Statistics, Reindex, Backup.

Il aborde aussi les maintenances inclues par défaut dans le produit. Sur la base de données opérationnelle :

• 00h00 : Partitionnement et nettoyage
• 2h00 : Nettoyage des données de découverte
• 2h30 : Optimisation des indexes
• 4h00 : Auto résolution des alertes.

Il revient aussi sur la taille plus importante de la base de données lors de l’utilisation de SQL Server 2016. Ceci avait été remonté par différentes personnes. Il conseille ainsi la création d‘un job de réindexassions de la base de données opérationnelle, tous les jours entre 3h et 6h.

Enfin, il aborde les maintenances sur le Data Warehouse et le modèle de restauration à adopter pour les bases.

Plus d’informations sur son billet : https://blogs.technet.microsoft.com/kevinholman/2017/08/03/what-sql-maintenance-should-i-perform-on-my-scom-2016-databases/

Voici le récapitulatif des annonces faites par Microsoft concernant sa plateforme Microsoft Azure.

Parmi les annonces, on retrouve notamment :

General

• Microsoft a annoncé le support de Windows et SQL Server dans OpenShift ainsi qu’OpenShift Dedicated sur Azure.
• Microsoft devient membre d'IC3 : l'initiative pour les CyrptoCurrencies et Contracts. Microsoft a proposé Coco Framework afin de fournir un framework pour blockchain et assurer la confidentialité des transactions.
• 14 nouvelles offres Cloud sont proposées dans l’Azure MarketPlace : Denodo Platform, Kinetica (BYOL), Informatica Big Data Management 10.1.1. U2 (BYOL), Lumify, AppGate, NetConnect, SQLstream Blaze, CARTO Builder, vSEC :CMS C-Series, VU Application Server, Identity Orchestration and Management Portal
• Preview de la gestion du coût de l'entreprise dans le nouveau portail Azure. Les entreprises qui ont un Azure EA peuvent voir et analyser les coûts de l'abonnement sous différents angles directement depuis le portail.

Azure Storage

• Depuis le 31 août, le chiffrement du service de stockage (Storage Service Encryption) est activé par défaut pour les nouvelles données écrites dans des Blobs, Tables, Queues, et fichiers. Microsoft va chiffrer rétroactivement les données existantes. Ce changement sera effectif pour les comptes de stockage classiques ou ARM. Vous pouvez choisir entre des clés de chiffrement gérées par Microsoft ou par vous-même. Notez que le changement est transparent et ne demande aucun changement aux applications suivantes. Vous pouvez toujours demander à désactiver le chiffrement en contacter le support. Plus d’informations sur : https://docs.microsoft.com/en-us/azure/storage/storage-service-encryption
• Preview des événéments de stockage Azure Blob permettant à des applications de réagir à la création ou la suppression de blobs sans avoir à créer de code très compliqué. Les événements sont poussés dans un gestionnaire d’événements tels quel Azure Functions, Azure Logic Apps, etc.
• Archive Blob Public Preview d’Azure Storage et Blob-Level Tiering. Le premier permet aux entreprises de réduire un peu plus le coût du stockage pour des données qui sont utilisées très rapidement. La partie Blob-Level Tiering permet de gérer le cout du stockage au niveau de l’objet.

IaaS

• Désactivation de SMB v1 dans les images de système d’exploitation Windows présentes dans la galerie Azure. Ce changement est effectif dès maintenant et laisse donc le service désactivé par défaut. Plus d’informations sur : https://blogs.msdn.microsoft.com/azuresecurity/2017/08/18/disabling-server-message-block-version-1-smb-v1-in-azure/
• Disponibilité de Cloudbreak pour Hortonworks Data Platform sur Azure MarketPlace. CloudBreak permet de provisionner, configure et adapter facilement des clusters Horton Data Platform.
• Public Preview de Just-In-Time VM Access pour donner un accès temporaire et à la demande aux machines virtuelles en filtrant les adresses IP pouvant se connecter à distance. Cette fonctionnalité est incluse dans la Standard Tier d'Azure Security Center.

Enterprise Mobility + Security

• Support de l’accès conditionnel pour macOS par Microsoft Intune et Azure Active Directory. Ceci permet donc d’évaluer la conformité d’un périphérique via le portail d’entreprise de Microsoft Intune et de renvoyer l’état qui pourra être utilisé pour accéder aux différents services de l’entreprise.

Office 365

• Public Preview pour l'expiration automatique des groupes Office 365. Les employés peuvent créer des groupes Office 365 à la volée afin de collaborer entre collègues. Avec l'augmentation des groupes, cette fonctionnalité permet de gérer le cycle de vie en y associant une date d'expiration. Arrivée à la date d'expiration, il est demandé à l'utilisateur de le renouveler sous peine d'être définitivement supprimé.

Azure Active Directory

• Changement de la durée de vie par défaut des Tokens sur Azure Active Directory. Microsoft travaille pour réduire les fenêtres d’authentification et l’impact sur l’utilisateur en modifiant les paramètres des Tokens pour tous les nouveaux tenants Azure Active Directory :
  • Refresh Token Inactivity: 90 Jours
  • Single/Multi factor Refresh Token Max Age: Jusqu’à la révocation
  • Refresh token Max Age for Confidential Clients: Jusqu’à la revocation

Il est bien entendu possible de changer les valeurs par défaut.

• Public Preview du support d’Azure AD Domain Services par les réseaux virtuels ARM. Pour l’instant, la fonctionnalité n’est présente que pour les nouveaux domaines ou ceux dans une instance de test. Les domaines de production pourront être migrés via un mécanisme dédié qui sera proposé d’ici décembre 2017.
• Amélioration du reporting sur les erreurs de synchronisation avec Azure AD Connect Health :
  • Il n’est plus nécessaire d’avoir Azure AD Premium pour accéder au rapport sur les erreurs de synchronisation.
  • Le rapport inclut maintenant les erreurs dues à la fonctionnalité Duplicate Attribute Resiliency.
  • Ajout d’une catégorie dédiée pour les erreurs « FederatedDomainChange »

Note : Vous devez mettre à jour Azure AD Connect en version 1.1.281.0 ou plus.

Azure Information Protection

• Extension des listes de modèles prédéfinis pour automatiser la classification pour supporter plus de 80 types d’informations sensibles. Microsoft utilise la même liste dans Office 365 et le même moteur.
• Une nouvelle action de protection appelée « User defined permissions », une extension de l’action « Do not foward » permettant de mapper un label sur une protection ad-hoc par utilisateurs dans Word, Excel, PowerPoint, etc.
• L’activation de RMS est en disponibilité générale et permet de convertir les modèles RMS liés à des options « pre-defined template ».
• Il est possible de localiser les modèles RMS hérités.
• Suppression de la limitation bloquant l’édition des modèles par défaut.
• Mise à jour de la documentation relative au produit.

Operations Management Suite

• Disponibilité Générale de la solution de supervision des conteneurs (Container Monitoring) dans Log Analytics. Outre la disponibilité générale, on retrouve de nouvelles fonctionnalités donnant des informations sur les clusters kubernetes. La solution de supervision de conteneur permet de :
  • Voir des informations à propos de tous les hôtes de conteneurs depuis un seul emplacement
  • Connaître quels conteneurs sont en cours d’exécution, quelle image ils exécutent et où ils sont exécutés.
  • Voir un fil d'audit pour les actions sur les conteneurs.
  • Dépanner en visualisant et cherchant dans des journaux centralisés sans avoir à se connecter sur l’hôte Docker.
  • Trouver les conteneurs qui peuvent poser problème en consommant trop de ressources sur un hôte.
  • Voir de manière centralisée le CPU, la mémoire, le stockage et le réseau utilisé ainsi que les informations de performance sur les conteneurs.
• Intégration de Service Map avec System Center Operations Manager pour procéder à la création automatique d’applications distribuées sur la base des Service Maps détectées par OMS. Microsoft fournit pour cela un Management Pack en Public Preview.
• Public Preview d’une solution d’évaluation de la sécurité Web permettant d’analyser des serveurs Web IIS.
• Améliorations de la solution Network Performance Monitor avec :
  • Un page de diagnostic de l’agent pour voir l’état de santé et les problèmes de configuration.
  • Capacité de voir la latence entre deux points du réseau avec une séparation saut par saut.
  • Network Performance Monitor est maintenant disponible directement dans le portail Azure.
  • Ajout à la région West Central US.

Azure SQL

• Passage prochain du niveau de compatibilité par défaut à 140 (SQL Server 2017) pour les nouvelles bases de données dans Azure SQL Database.
• Preview du chiffrement de données transparent (TDE) avec le support de BYOK (Bring Your Own Key) pour Azure SQL Database et Azure SQL Data Warehouse.
• Public Preview de nouveaux niveaux de performances et composants additionnels de stockage :
  • Les niveaux de performances du Standard tier passe à 3000 DTUs avec différents niveaux.
  • De nouveaux niveaux Standard S4 à S12 offrent des niveaux spécifiques jusqu’à 3000 DTUs.
  • Auparavant la limite de taille de stockage était à niveau fixe lié au niveau de performance. Les entreprises peuvent maintenant acheter du stockage supplémentaire pour des bases de données seules ou des elastic pools sur les tiers Standard (0,085USD/GB/Mois) et Premium(0,170USD/GB/Mois).
• Azure Database pour MySQL et PostgreSQL sont disponibles dans les régions India.

Azure Government

• Azure Monitor est maintenant disponible dans Azure Government. Pour rappel, Azure Monitor est un service de supervision intégré des ressources Azure pour les utilisateurs Azure. Vous pouvez y retrouver des métriques, des journaux, etc.
• Limited Preview d'Azure Active Directory Premium sur US Government.

Autres services

• Preview de la vérification de connectivité par Azure Network Watcher.
• Disponibilité Générale d'Azure App Service sur Linux incluant la capacité Web App for Containers. Ceci permet d'avoir des images built-in pour ASP.NET Core, Node.js, PHP et Ruby sur Linux. Plus d'informations sur : https://azure.microsoft.com/fr-fr/blog/webapp-for-containers-overview/
• Ajout d’Azure Data Lake Store pour capturer des événements à partir d’Event Hubs Capture.
• Azure Monitor comprend de nouvelles fonctionnalités permettant de router les informations et métriques de diagnostic vers un compte de stockage, un namespace Event Hubs ou un workspaces Log Analytics.
• Private Preview de la détection d’anomalies basée sur du Machine Learning dans Azure Stream Analytics.
• Preview d'Azure IoT Device Provisioning Service permettant d'automatiser la connexion et la configuration du périphérique. Ce service permet d'apporter une approche provisionnement Zero-Touch vers l'IoT Hub.
• Possibilité d’utiliser des modèles Jupyter Notebook pour requêter de manière régulière les données de télémétrie et faire une analyse avancée qui peut être ensuite renvoyée à Azure Application Insights.
• Le designer Web d’Azure Analysis Services ajoute l’édition de modèle visuel en Preview. On retrouve donc un éditeur de diagramme qui permet véritablement de modifier les modèles visuellement.
• Version 1.2 des librairies de gestion Azure pour Java afin d’apporter le support de fonctionnalités de déploiement et de sécurité additionnels avec l’identité de service géré, le chiffrement du service de stockage, etc.
• Version 1.2 des librairies de gestion Azure pour .NET afin d’apporter le support de fonctionnalités de déploiement et de sécurité additionnels avec l’identité de service géré, le chiffrement du service de stockage, etc.
• Les outils HDInsight IntelliJ fournissent un moteur robuste de dépannage à distance pour des éléments s’exécutant dans le Cloud Azure.
• Des nouveautés sur Visual Studio Team Services avec
  • Une Preview du nouvel éditeur Release Definition Editor.
  • La visualisation du pipeline permet de voir graphiquement l’état des déploiements.
  • Les Artifacts, release triggers, approbations de pré déploiement et post déploiement, les propriétés de l’environnement et paramétrages de déploiement, sont configurables facilement dans l’interface graphique.
  • Application des modèles de déploiement.
  • Amélioration de l’éditeur de tâches et de phases.

Microsoft vient d’annoncer la version finale des baselines de paramétrages de sécurité pour Windows 10 1703 (Anniversary Update/RS2). On y retrouve les nouveaux paramétrages de cette nouvelle Build. Ces dernières s’utilisent avec Security Compliance Toolkit (SCT). Les lignes de base permettent de vérifier la conformité d’une application vis-à-vis des bonnes pratiques et recommandations Microsoft.

Voici les différences avec la baseline pour Windows 10 1607 :

• Désactivation du protocole Server Message Block (SMB) v1 en utilisant un fichier ADMX personnalisés afin que les paramétrages puissent être exposés par l’éditeur de stratégie de groupe.
• Suppression du paramétrage « Untrusted Font Blocking ». Microsoft a intégré de nombreux autres paramétrages qui mitigent et rend ce paramétrage non nécessaire. Pour en savoir plus sur la raison de cette suppression, rendez-vous sur : Dropping the “Untrusted Font Blocking” setting.
• Désactivation de VBScript dans Internet Explorer lors de la navigation sur les zones de sécurité Internet ou Restricted Site.
• Suppression du paramétrage “Network access: Do not allow storage of passwords and credentials for network authentication”. La configuration de ce paramétrage rend impossible la configuration d’une tâche planifiée qui a besoin d’un accès réseau authentifié avec un utilisateur et un mot de passe.
• Désactivation du support de TLS 1.0 pour les sites HTTPs dans Internet Explorer afin de n’autoriser que TLS 1.1 et 1.2.
• Désactivation des services Xbox et HomeGroup qui ne sont pas nécessaires dans le contexte d’entreprise.
• Exposition de deux paramétrages à travers l’ADMX personnalisé “MS Security Guide” pour forcer les protections des processus 32-bit et « Turn on Windows Defender protection against Potentially Unwanted Applications ».
• Suppression des paramétrages de sécurité qui empêche Internet Explorer d’utiliser des polices téléchargées sur Internet et les zones de sites restreints.
• Le forcement de l’User Rights Assignements par défaut à Generate security audits (SeAuditPrivilege) a été supprimé.
• Activation du paramètre “Do not suggest third-party content in Windows spotlight” dans User Configuration\Administrative Templates\Windows Components\Cloud Content.

Plus d’informations sur l’article suivant : https://blogs.technet.microsoft.com/secguide/2017/08/30/security-baseline-for-windows-10-creators-update-v1703-final/

Télécharger Windows 10 RS2 Security Baseline

Microsoft a publié un guide sur les mécanismes de sécurité présents dans Windows Server 2016. Les aspects suivants sont abordés :

• L’importance de la sécurité de Windows Server 2016
• Les Informations relatives à la prévention et à la détection des compromissions
• Comment construire une fondation sécurisée
• Comment protéger les identités privilégiées
• Comment durcir Windows Server
• Comment améliorer la protection contre les menaces
• Comment durcir les environnements Hyper-V

Télécharger Windows Server 2016 Security Guide

Microsoft a créé une vidéo de présentation de la fonctionnalité Windows AutoPilot de Windows 10. La vidéo montre notamment l’interface présente dans le Microsoft Store for Business. Pour rappel, Windows AutoPilot est l’équivalent du programme Apple Device Enrollment Program (DEP). Il permet de pré-provisionner des périphériques sans action particulière de la part de l’utilisateur. On peut donc acheter le périphérique et le faire livrer directement à l’utilisateur. Ce dernier le démarre et il se configure tout seul avec les éléments nécessaires pour l’entreprise.

Microsoft a publié un article dans sa base de connaissances pour décrire comment réaliser une capture du réseau depuis une séquence de tâches dans un environnement Windows PE. Ceci peut être très utile quand vous faites du déploiement de système d’exploitation avec Microsoft Deployment Toolkit (MDT) ou System Center Configuration Manager (SCCM). Cela peut aussi servir pour faire du dépannage. Prenez-le cas où vous devez déployer un système d’exploitation sur un réseau avec du 802.1x.

Vous devez donc :

1. Extraire l’installeur de Network Monitor dans un dossier
2. Récupérer les fichiers Netnm3.inf et Nm3.sys.
3. Monter l’image de démarrage et injecter le fichier Netnm3.inf
4. Copier le dossier Microsoft Network Monitor 3 dans le dossier où l’image de démarrage est montée.
5. Copier le fichier Nm3.sys dans les répertoires spécifiques du système.
6. Démonter et valider l’image de démarrage.
7. Mettre à jour l’image de démarrage sur votre infrastructure Configuration Manager ou MDT.
8. Démarrer avec l’image de démarrage. Charger l’invite de commande et dans le dossier Microsoft Network Monitor 3, exécutez les commandes d’installation Nmconfig.exe /install puis Netmon.exe

Plus d’informations sur la KB4034393 How to get network captures from a task sequence in Windows PE

Microsoft a officiellement annoncé la fin de support et de service pour Windows 10 1511. Ceci est effectif depuis le 27 juillet 2017 et vous devez migrer très rapidement vers une version plus récente (1607, 1703). Microsoft ne publiera plus de mises à jour de sécurité à partir du 10 octobre 2017.

Source : https://support.microsoft.com/en-us/help/4036927/windows-10-version-1511-end-of-service-for-cb-and-cbb-july-27-2017

Microsoft va tenir un Webinar sur l’intégration de la solution de sécurité Check Point Sandblast avec Microsoft Intune. La solution permet de sécuriser les périphériques mobiles des menaces avancées afin d’assurer la conformité du périphérique pour accéder aux ressources d’entreprise.

Il y a deux créneaux :

• Americas: Wednesday, September 13 – 10:00 am (PT)
• Europe + Asia: Wednesday, September 13 – 10:00 am (CEST)

Microsoft vient de publier une nouvelle version du client ConfigMgr pour les serveurs UNIX/Linux. Cette version (5.0.7958.2432) peut être utilisée pour System Center Configuration Manager 2012 SP1, SP2, R2 SP1 et Current Branch.

Elle ajoute le support d’Ubuntu 16.04 (x86/x64). Elle retire le support de AIX version 5.3, Solaris version 9, HP-UX on PA-RISC hardware, HP-UX version 11iv2, et SLES version 9 qui ne sont plus supportés par les vendeurs.

Enfin, on retrouve diverses corrections de bugs.

Télécharger Microsoft System Center Configuration Manager - Clients for Additional Operating Systems

Microsoft vient d’annoncer la mise à disposition d’un nouvel ensemble de fonctionnalités pour Microsoft Intune.

Les fonctionnalités suivantes sont ajoutées :

Enregistrement

• Amélioration à la vue Device Overview qui affiche maintenant maintenant les périphériques enregistrés mais exclue ceux gérés par Exchange ActiveSync. Ces périphériques n’ont pas les mêmes options de gestion que ceux enregistrés.

Gestion des périphériques

• Amélioration de l’inventaire collecté par Intune avec les informations suivantes :
  • Pour Android, vous pouvez ajouter une colonne à l’inventaire de périphérique afin de montrer le dernier niveau de patch (Security patch level) de chaque périphérique.
  • Vous pouvez maintenant filtrer les périphériques par la date d’enregistrement (exemple les périphériques enregistrés après une certaine date).
  • Amélioration du filtre Last Check-in Date.
  • Dans la liste de périphérique, vous pouvez afficher le numéro de téléphone des périphériques d’entreprise. Vous pouvez aussi filtrer sur cet attribut.
• Support de l’accès conditionnel pour les périphériques Mac. Vous pouvez maintenant configurer des stratégies d’accès conditionnel demandant à ce que le Mac soit enregistré dans Microsoft Intune et conforme aux stratégies. L’utilisateur doit pour cela, télécharger l’application portail d’entreprise pour macOS et enregistrer leur Mac dans Intune. Intune évalue alors la conformité comme le PIN, le chiffrement, la version du système et l’intégrité du système. Ce support est apporté pour macOS 10.11+, Safari et les applications Office 2016 pour Mac en version
  • Outlook v15.34 and later
  • Word v15.34 and later
  • Excel v15.34 and later
  • PowerPoint v15.34 and later
  • OneNote v15.34 and later

• Nouveaux paramétrages de restriction Windows 10 dans les catégories :
  • Windows Defender SmartScreen
  • App store

• Mise à jour du profil de paramétrages BitLocker dans Windows 10 endpoint protection device:
  • Quand vous sélectionnez Block sur le paramétrage BitLocker with non-compatible TPM chip, ceci engendrait en réalité l’autorisation de BitLocker.
  • Le paramétrage Certificate-based data recovery agent permet de bloquer explicitement certificate-based data recovery agent. Par défaut, l’agent est autorisé.
  • Sous BitLocker fixed data-drive settings pour l’agent data recovery, vous pouvez maintenant explicitement bloquer l’agent de restauration de données.

Gestion des applications

• Une nouvelle expérience de connexion pour le portail d’entreprise Android. Celle-ci permet de voir les applications, gérer les périphériques et voir les informations du service informatique sans avoir à enregistrer le périphérique Android dans la solution d’administration. Si un utilisateur a déjà une application protégée par les stratégies de protection des applications et qu’il lance le portail d’entreprise Android, il n’est pas non plus incité à enregistré son périphérique.
• Support des identités multiples (personnels et professionnels) pour OneNote pour iOS.

En outre, on retrouve les changements suivants :

• Changement des adresses IP utilisées par Microsoft Intune : https://docs.microsoft.com/en-us/intune/network-bandwidth-use
• Remplacement du rôle d’administration pour la partie Mobile Application Management par RBAC dans le nouveau portail Azure.

Plus d’informations sur : https://docs.microsoft.com/en-us/intune/whats-new

Microsoft planifie la migration des paramétrages Apple’s Device Enrollment Program (DEP), Volume Purchase Program (VPP), et les gestionnaires d’enregistrement de périphérique (DEM) vers Microsoft Intune sur Azure. Cette migration aura lieu entre le lundi 11 et vendredi 22 septembre 2017.

Si vous n’utilisez pas ces éléments ou vous ne comptez pas les utiliser dans le mois à venir, vous n’êtes pas concernés.

Dès lors que les paramétrages auront été migrés, il ne sera possible de les utiliser que depuis Intune sur Azure. Après la migration, vous aurez besoin d’assigner un profil avant d’activer les périphériques DEP. Pour la fonctionnalité VPP, vous allez devoir suivre les instructions pour activer le token VPP. De plus, le portail Azure ne supporte pas le profil d’enregistrement de périphérique d’entreprise par défaut pour les périphériques DEP.

Microsoft vient d’annoncer le support d’Android Oreo (8.0) par Microsoft Intune et System Center Configuration Manager et ce dès la sortie du système. Les utilisateurs peuvent donc mettre à jour leur téléphone sans craindre de mettre en péril la gestion du périphérique. Tous les scénarios ont été testés (MDM, MAM, etc.)

On retrouve plusieurs considérations :

• Vous devez mettre à jour le portail d’entreprise à partir du Google Play Store.
• Les permissions pour les sources inconnues (Unknown Sources) ont été déplacées. Ceci peut être nécessaire si vous devez déployer des applications métiers (APK) sans Android for Work. Dans les précédentes versions, le paramètre était défini au niveau du périphérique. A partir d’Android O, les permissions « Install Unknown apps » est gérées par application. Pour cela, vous devez naviguer dans Settings > Apps & notifications > Special app access > Install unknown apps > Company Portal
• Le paramétrage de conformité Block apps from unknown sources ne fonctionne pas sur Android 8.0. Ceci est dû au changement de comportement pour les sources inconnues. Il n’est plus possible pour le portail d’entreprise de détecter si la permission a été attribuée.

Plus d’informations sur : https://blogs.technet.microsoft.com/intunesupport/2017/08/21/android-8-0-o-behaviour-changes-and-microsoft-intune/

Source : https://blogs.technet.microsoft.com/enterprisemobility/2017/08/21/microsoft-intune-provides-support-for-android-oreo/

Microsoft a publié un correctif pour le Management Pack embarqué dans System Center 2016 Operations Manager concernant le problème de supervision de l’état de santé WMI.

En l’occurrence le moniteur WMI health ne fonctionnait pas dans les conditions suivantes :

• WinRM est configuré pour utiliser HTTPS uniquement
• Le Service Principal Name (SPN) était enregistré avec http/servername sur le compte utilisateur

Le problème provenait du protocole utilisé par le script qui engendrait des échecs. En lieu et place, il utilise maintenant le protocole DCOM comme dans SCOM 2012 R2.

Microsoft a mis à jour les packs intégrés suivants qui doivent donc être mis à jour par un import :

• SystemCenter.2007.mp - 7.2.11907.0
• SystemCenter.Internal.mp 7.0.8437.10

Télécharger Microsoft System Center Operations Manager 2016 inbox MP hotfix for WMI health monitor issue

Au mois d’août, Microsoft a publié un nouveau bulletin de sécurité avec les mises à jour associées. Ce dernier a engendré une augmentation de l’utilisation CPU et mémoire sur les serveurs WSUS (toutes versions). Ceci a aussi touché les environnements System Center Configuration Manager qui utilisaient la fonctionnalité de gestion des mises à jour logicielles (SUM).

Le problème a été engendré par les mises à jour de Windows 10 1607 (par exemple KB4022723, KB4022715, KB4025339, etc) ou Windows 10 1511. Ces mises à jour contiennent un grand nombre d’éléments pour les métadonnées des paquets dépendants (enfants) car ils regroupent un grand nombre de binaires. Windows 10 1703 n’est pas touché car plus récent et ne dispose pas de packages aussi larges.

Dans ce cas de figure, vous observez :

• Une forte utilisation du CPU de 70 à 100% par le processus w3wp.exe qui héberge WsusPool
• Une consommation mémoire importante par le processus w3wp.exe qui héberge WsusPool (jusqu’à 24 GB)
• Un recyclage constant de w3wp.exe qui héberge WsusPool (identifiable par le PID)
• Les clients échouent le scan des mises à jour et renvoient des timeouts (8024401c) dans le fichier WindowsUpdate.log
• De nombreuses erreurs 500 pour des requêtes sur /ClientWebService/Client.asmx dans les fichiers de journalisation IIS.

Note ce problème peut aussi survenir si vous avez trop de mises à jour remplacées. Dans ce cas la procédure est différente. Voir The Complete Guide to Microsoft WSUS and Configuration Manager SUP maintenance

Outre les mises à jour à appliquer si après, vous pouvez augmenter le timeout d’ASP.NET et superviser les métadonnées WSUS. Pour en apprendre plus sur l’origine du problème et les autres éléments qui peuvent être mis en place : https://blogs.technet.microsoft.com/askcore/2017/08/18/high-cpuhigh-memory-in-wsus-following-update-tuesdays/

Télécharger :

• Windows Server 2016 (KB4039396)
• Windows Server 2012 R2 (KB4039871)
• Windows Server 2012 (KB4039873)
• WSUS 3.0 SP2 (KB4039929)

Microsoft propose un événement de questions/réponses sur Windows 10 dans le monde de l’éducation. Cet évènement aura lieu le jeudi 31 août de 18h à 19h (heure française). Ask Microsoft Anything est une belle opportunité pour poser des questions sur Windows 10 avec les sujets suivants :

• Les configurations recommandées et les bonnes pratiques de déploiements pour les périphériques Windows 10 dans le monde de l’éducation.
• Le provisionnement des périphériques et l’application Set up School PCs
• La gestion des périphériques avec Microsoft Intune for Education
• Microsoft Store for Education
• Microsoft School Data Sync
• La différence entre Windows 10 Pro for Education, Windows 10 Pro et Windows 10 S.

Vous devez être membre de Tech Community pour poster vos questions via l’adresse : http://aka.ms/community/Windows10

Source : https://blogs.technet.microsoft.com/windowsitpro/2017/08/16/save-the-date-windows-10-for-education-ama-on-august-31st/

Microsoft vient de publier une Public Preview (1.0.0.6) du pack d’administration ou Management Pack (MP) SCOM pour Operations Management Suite (OMS) afin d’apporter une intégration avec Service Map. Cette intégration permet de créer dynamiquement des applications distribuées à partir des system maps. Elle ne fonctionne qu’avec System Center 2012 R2 Operations Manager et plus. Pour rappel, System Center Operations Manager (SCOM) fait partie de la gamme System Center, il propose une supervision souple et évolutive de l’exploitation au niveau de toute l’entreprise, réduisant la complexité liée à l’administration d’un environnement informatique, et diminuant ainsi le coût d’exploitation. Ce logiciel permet une gestion complète des événements, des contrôles proactifs et des alertes, et assure une gestion des services de bout en bout. Il établit des analyses de tendance et des rapports, et contient une base de connaissances sur les applications et le système.

Pour rappel, Service Map découvre les composants des applications sur Windows et Linux et map les communications entre les différents services afin de voir les interconnexions entre systèmes.

Lisez le guide associé au Management Pack pour mettre en œuvre la supervision et activer les règles nécessaires.

Télécharger System Center Operations Manager Management Pack for Operations Management Suite (OMS) Service Map integration - Public Preview

Microsoft a communiqué sur les prochains mécanismes de sécurité qui seront présents dans Windows 10 1709 ou Fall Creators Update. Ces derniers viennent enrichir la gamme Windows Defender et les différents bundles proposés par Microsoft.

Parmi les nouveautés, on retrouve :

• Windows Defender Application Guard (WDAG) permettant d’isoler Microsoft Edge dans un environnement conteneurisé. Ceci évite qu’un logiciel malveillant qui exécute du code à partir du navigateur puisse se propager au système. Cette fonctionnalité nécessite Hyper-V pour fonctionner et par conséquent le matériel adéquat.
• Windows Defender Exploit Guard (WDEG) est l’équivalent d’Enhanced Mitigation Experience Toolkit directement inclus dans Windows 10. Il permet de se protéger contre certaines techniques communément utilisées pour l’exploitation de vulnérabilités. Cette solution de type Host Based Intrusion Prevention System (HIPS) s’intègre au Microsoft Intelligent Security Graph pour réduire la surface d’attaque avec des règles intelligentes.

Parmi les services déjà implémentés mais qui comportent des nouveautés, on retrouve Windows Defender Advanced Threat Protection (ATP) est une solution d’analyse, d’investigation et de réponse (forensic) permettant d’améliorer la détection et l’alerting, d’offrir des actions de réponse et d’offrir une vision courante des attaques possibles. Cette version est complétée par les éléments suivants :

• Les alertes Windows Defender SmartScreen sont visibles dans la console afin de voir si un utilisateur a cliqué sur une URL en dépit des avertissements.
• Les détections et actions réalisées par l’antivirus Windows Defender ainsi que les connexions bloquées par le pare-feu sont affichées dans la console.
• Les événements Device Guard mettant en avant les applications non autorisées qui ont été bloquées ainsi que les informations d’audit ou de blocage provenant de Windows Defender Exploit Guard sont proposées dans la console.
• De la même façon, les alertes et événements de Windows Defender Application Guard sont rapatriées dans la console.
• Il va devenir possible d’activer à la demande Device Guard sur un périphérique donné directement depuis la console ATP. De la même façon, il sera possible de générer automatique la liste des applications autorisées basée sur la réputation des applications.
• En outre, on retrouve de nouveaux indicateurs d’attaques (IoA) comme des règles de détections pour des attaques basées sur des scripts dynamiques, de l’exploration réseaux ou des alertes de Key Koggers.
• De nouvelles vues sont proposées pour les opérationnels de sécurité.
• On retrouve de nouvelles APIs permettant d’intégrer les SIEM ou obtenir des informations.
• Enfin, la solution est étendue à Windows Server 2012 R2 et 2016 ainsi que d’autres plateformes qui vont au-delà de Windows (sans plus de détails)

Une vidéo de présentation de Windows Defender Application Guard:

Lire un showcase Microsoft IT sur Windows Defender ATP.

Source : https://blogs.technet.microsoft.com/mmpc/2017/06/27/whats-new-in-windows-defender-atp-fall-creators-update/